logo SOS Ransomware
Kontakt 24/7

Doubleclickjacking: die neue Bedrohung durch Doppelklick-Angriffe

Die Bedrohungen der Cybersicherheit werden immer vielfältiger und die Angriffstechniken entwickeln sich weiter, um die eingerichteten Schutzmechanismen zu umgehen. Unter diesen neuen Angriffsformen zeichnet sich das Doubleclickjacking dadurch aus, dass es mithilfe eines Doppelklicks mit der Maus Schwachstellen in Sicherheitssystemen ausnutzt. Während Clickjacking bereits eine gefürchtete Methode war, könnte seine Variante, das Doubleclickjacking, das kürzlich von Paulos Yibelo, einem Sicherheitsingenieur bei Amazon, entdeckt wurde, eine noch größere Herausforderung für Entwickler und Netzwerkadministratoren darstellen.

Das Prinzip des Clickjacking verstehen

Ursprünglich beruht Clickjacking darauf, bösartige Elemente hinter harmlosen Schaltflächen oder Links zu verbergen. Wenn der Benutzer auf etwas klickt, das er für ein legitimes Element hält, aktiviert er in Wirklichkeit eine versteckte Aktion, die oftmals Hackern zugute kommt. Ob zur Exfiltration sensibler Daten oder zur Installation von Malware, diese Technik ist seit langem ein beliebtes Werkzeug von Cyberkriminellen.

Click Hijacking nutzt das Vertrauen aus, das Internetnutzer bekannten Webseiten entgegenbringen. Angreifer integrieren versteckte Schadsoftware in scheinbar harmlose Webseiten und verwenden dabei häufig Iframes oder andere Techniken, um ihre wahre Natur zu verschleiern. Wenn ein Nutzer mit legalen Inhalten interagiert, aktiviert er versehentlich die versteckten betrügerischen Elemente, was zum Diebstahl von Daten, zur Installation unerwünschter Programme oder zu nicht autorisierten Aktionen führen kann.

Bei dieser Technik wird der Nutzer häufig dazu verleitet, auf ein Element zu klicken, das harmlos erscheint, während es sich in Wirklichkeit um einen versteckten Link oder eine Schaltfläche handelt, die die perverse Aktion auslöst. Klassische Klickumleitungsangriffe werden oft durch HTTP-Header wie X-Frame-Options, die die Fähigkeit einer Site, in einer anderen gerahmt zu werden, einschränken, und das Attribut SameSite: Lax/Strict für Cookies, das die Übertragung von Cookies in seitenübergreifenden Kontexten einschränkt, abgeschwächt. Wie die Forschung von Paulos Yibelo zeigt , gelingt es dem Doubleclickjacking jedoch , diese Abwehrmaßnahmen zu umgehen.

Doubleclickjacking: Funktionsweise und Auswirkungen

Wie funktioniert das Doubleclickjacking?

Doubleclickjacking macht sich die Verzögerung zwischen dem ersten und dem zweiten Klick in einer Doppelklicksequenz zunutze. Wenn ein Nutzer auf eine scheinbar harmlose Schaltfläche doppelklickt, löst die erste Aktion die Anzeige eines überlagerten Fensters aus. Dieses Fenster kann eine einfache Autorisierungsanfrage anzeigen, z. B. ein CAPTCHA. Was im Hintergrund geschieht, ist weitaus unheimlicher.

Zwischen den beiden Klicks ändert das JavaScript-Skript die Aktion des Doppelklicks, um mit einem sensiblen Element zu interagieren, z. B. einer Schaltfläche zur Bestätigung einer OAuth-Autorisierung oder einem Link zu einer Seite mit kritischen Konten. Das Ergebnis ist, dass der Benutzer schließlich auf etwas klickt, das er nicht absichtlich bestätigt hat, wodurch Angreifer diese Interaktion für ihre eigenen Zwecke ausnutzen können.

„Einer der überraschenden Aspekte dieser Methode ist, dass es keine Rolle spielt, wie langsam oder schnell das Ziel einen Doppelklick macht. Durch die Bevorzugung des Ereignishandlers mousedown kann dieses Phänomen selbst bei den schnellsten oder langsamsten Benutzern ausgenutzt werden.“
Paulos Yibelo

Doubleclickjacking in Kürze: eine heimtückische Bedrohung

Doubleclickjacking nutzt ein winziges Zeitintervall zwischen Mousedown (Beginn des Klicks) und Onclick (Ende des Klicks) für einen schnellen Fenstertausch. Mit dieser Technik können Angreifer ein harmloses Fenster gegen ein Fenster mit sensiblen Elementen austauschen, bevor der Benutzer seinen Doppelklick beendet hat. Der Benutzer glaubt, eine harmlose Aktion auszuführen, obwohl er unbeabsichtigt eine bösartige Aktion zulässt.

Wie funktioniert das Ganze?

  1. Anfangsfenster: Ein scheinbar harmlosesFenster wird geöffnet (z. B. CAPTCHA-Prüfung).
  2. Fenstertausch: Vor dem zweiten Klick wird das harmlose Fenster durch ein Zielfenster aus der gleichen Sitzung ersetzt, das die bösartigen Elemente enthält (z. B. OAuth-Autorisierung).
  3. Ausnutzung des Timings: Der erste Klick (Mousedown) schließt das harmlose Fenster und enthüllt das Zielfenster.
  4. Bösartiger zweiter Klick: Der zweite Klick, den der Benutzer ausführt, aktiviert das sensible Element im Zielfenster, ohne dass er sich dessen bewusst ist. Diese Aktion kann von der Autorisierung des Zugriffs auf ein Konto bis hin zur Bestätigung einer betrügerischen Zahlung reichen.
attaque doubleclicjacking
Ablauf eines Doubleclickjacking-Angriffs – Quelle Paulos Yibelo.

Warum ist das gefährlich?

Diese Technik ist besonders gefährlich, da sie es Angreifern ermöglicht, :

  • Sensible Aktionen umleiten: Benutzer können dazu gebracht werden, betrügerische Anwendungen von Drittanbietern zuzulassen oder andere sicherheitsbedrohende Aktionen durchzuführen, ohne es zu wissen. Im Gegensatz zum Phishing, das eine explizitere Interaktion und oft eine gewisse Gutgläubigkeit des Opfers erfordert, nutzt Doubleclickjacking eine technische Schwachstelle aus, um heimtückisch und automatisch zu agieren.
  • Umgehung bestehender Schutzmechanismen: Selbst Websites, die Schutzmechanismen gegen Clickjacking verwenden, können für diese Angriffe anfällig sein, da Double-Clickjacking nicht auf demselben Mechanismus beruht.

Doubleclickjacking ist eine ernsthafte Bedrohung, die ständige Wachsamkeit von Entwicklern und Nutzern erfordert. Im Gegensatz zum Phishing, das auf Social Engineering beruht, nutzt dieser Angriff eine technische Schwachstelle aus, um erheblichen Schaden anzurichten.

DoubleClickjacking vs. klassisches Clickjacking: die wichtigsten Unterschiede.

Obwohl DoubleClickjacking eine Weiterentwicklung des klassischen Clickjacking ist, gibt es mehrere wichtige Unterscheidungsmerkmale.

Klassisches Clickjacking :

  • Mechanismus: Der Angreifer baut ein unsichtbares oder getarntes Element in eine legitime Webseite ein. Wenn der Nutzer auf dieses Element klickt, wird er unwissentlich auf eine bösartige Seite weitergeleitet.
  • Schutz: Browser haben Schutzmaßnahmen wie X-Frame-Options und SameSite-Cookies eingeführt, um das Risiko von Clickjacking zu begrenzen.

Doubleclickjacking :

  • Mechanismus: Der Angreifer nutzt eine Doppelklicksequenz aus, um den Benutzer zu täuschen. Er öffnet ein Pop-up-Fenster mit einer scheinbar harmlosen Schaltfläche. Wenn der Benutzer auf diese Schaltfläche doppelklickt, ersetzt der Angreifer das Fenster schnell durch eine sensible Seite (wie eine Login- oder Bezahlseite).
  • Schutz: Die herkömmlichen Schutzmaßnahmen gegen Clickjacking sind nicht immer wirksam gegen Doubleclickjacking. Es sind neue Schutzmaßnahmen erforderlich, wie z. B. die Verwendung von clientseitigen Skripten, um sensible Schaltflächen standardmäßig zu deaktivieren.

Fallbeispiele und Demonstrationen

Paulos Yibelo hat die Machbarkeit dieser Angriffe auf beliebten Plattformen wie Salesforce, Slack oder Shopify erfolgreich demonstriert. So konnte er beispielsweise Drittanwendungen unzulässigerweise den Zugriff auf Benutzerkonten gestatten oder kritische Sicherheitseinstellungen deaktivieren.

https://www.youtube.com/watch?v=4rGvRRMrD18&embeds_referring_euri=https%3A%2F%2Fwww.paulosyibelo.com%2F&source_ve_path=OTY3MTQ
Beispiel für einen Angriff auf ein Salesforce-Konto – Quelle Paulos Yibelo.

Diese Technik ist nicht auf herkömmliche Webseiten beschränkt. Sie kann auch auf Browsererweiterungen abzielen und so die Tür für potenzielle Kompromittierungen von kryptografischen Wallets, Webanwendungen3 oder sogar VPN-Diensten öffnen.

Abwehrmaßnahmen gegen Doubleclickjacking

Grenzen der bestehenden Schutzmaßnahmen

Herkömmliche Methoden zum Schutz vor Clickjacking wie HTTP-Header erweisen sich beim Doubleclickjacking als unwirksam. Denn diese Abwehrmaßnahmen sind nicht darauf ausgelegt, die Nuancen des Timings und der Reihenfolge der Ereignisse zu berücksichtigen, die bei dieser neuen Form des Angriffs verwendet werden.

Ohne Iframes oder Versuche, Cookies zwischen Domains zu übertragen, entzieht sich Doubleclickjacking den etablierten Erkennungsmechanismen und erfordert daher wirklich innovative Sicherheitsansätze, die speziell auf diese Bedrohung zugeschnitten sind.

Die neuen Lösungsvorschläge

Um Doubleclickjacking zu begegnen, wäre es notwendig, neue Skripte für den clientseitigen Schutz zu entwickeln. Diese JavaScript-Skripte könnten sensible Schaltflächen oder kritische Links standardmäßig deaktivieren, bis zuverlässigere Benutzerinteraktionen erkannt werden. Hier einige potenzielle Ansätze:

  • Deaktivierung kritischer Schaltflächen, bis eine gültige Gesteninteraktion erkannt wird.
  • Verstärkte Überprüfung von Benutzeraktionen über mehrere Validierungsschritte.
  • Kontinuierliche Überwachung der Benutzerinteraktionen, um verdächtige Muster zu erkennen.
  • Langfristige Lösungen, Browser könnten neue Standards einführen, um schnelle Kontextwechsel zwischen Fenstern während einer Doppelklicksequenz zu begrenzen.
  • Gute Praktiken für Entwickler Es wird empfohlen, Schutzskripte auf sensiblen Seiten (Authentifizierung, Zahlungen usw.) zu integrieren, bis integrierte Lösungen in den Browsern verfügbar sind.

Neben den technischen Lösungen bleibt eine erhöhte Wachsamkeit der Nutzer von entscheidender Bedeutung. Bevor Sie einen Doppelklick bestätigen, sollten Sie sich den Bruchteil einer Sekunde Zeit nehmen, um den Bildschirminhalt genau zu betrachten, die URL der Website zu überprüfen und sich von der Legitimität des Vorgangs zu überzeugen. Auch wenn der Doppelklick eine automatische Geste ist, denken Sie daran, dass in diesem kurzen Moment eine bösartige Seite an die Stelle der legitimen treten kann. Um dieser heimtückischen Bedrohung zu begegnen, ist Vorsicht geboten, denn selbst der schnellste Doppelklick kann Sie für diese Art von Angriff anfällig machen.

Zusammenfassend lässt sich sagen, dass Doubleclickjacking eine neue Grenze bei Angriffen auf die Umleitung von Benutzeroberflächen darstellt. Seine Fähigkeit, traditionelle Sicherheitsmechanismen durch Ausnutzung von Doppelklicks zu umgehen, stellt Cybersicherheitsexperten vor substanzielle Herausforderungen. Es wird entscheidend, wachsam zu bleiben und geeignete Verteidigungsstrategien zu implementieren, um die Nutzer effektiv vor dieser schädlichen Bedrohung zu schützen.

Weitere Informationen: DoubleClickjacking: A New Era of UI Redressing (Paulos Yibelo)

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It