Internetrecht

Clickjacking – Der entführte „Klick“

Clickjacking ist eine seit langem etablierte und weit verbreite Art des Klickbetrugs. Angreifer wenden die Methode des Clickjackings an, um Internetnutzer ohne deren Wissen zu gezielten Aktionen zu verleiten. Angreifer überlagern dabei Internetseiten oder Apps mit für den Nutzer unsichtbaren bzw. transparenten Fenstern.

Diese Fenster können wiederum völlig andere Inhalte habe, als die für den Nutzer sichtbare Internetseite. Die unsichtbaren Fenster mit Links, Download- oder Bestätigungsbuttons, werden dabei über das für den Internetnutzer sichtbare Seitenfenster geschoben. Klickt der Internetnutzer auf eine für ihn sichtbare Schaltfläche, aktiviert er nicht die sichtbare Schaltfläche, sondern die versteckte Schaltfläche des transparenten Fensters. Ungewollt und unwissentlich führt das Opfer eine durch den Angreifer vorgegebene Aktion aus.

Die Ziele der Angreifer sind dabei unterschiedlich. In den meisten Fällen möchten Hacker und unseriöse Unternehmen zügig Internet-Traffic aufbauen und entsprechend monetarisieren, Schadsoftware verbreiten oder gestohlene personenbezogene Daten von einzelnen Personen zu betrügerischen Zwecken nutzen.

Wo findet Clickjacking statt?

Clickjacking findet heutzutage auf unterschiedliche Weisen statt. Betroffen sind sowohl Nutzer von herkömmlichen Computern, als auch Besitzer von Smartphones und Tablets. Aufgrund der stetig steigenden Zahl von Smartphone und Tablet-Nutzern und den immer größer werdenden Nutzungsmöglichkeiten mobiler Endgeräte, ist ein weiterer Anstieg von Clickjacking-Kampagnen per App zu erwarten.

Facebook:

Clickjacking ist ein großes Problem auf sozialen Netzwerken wie Facebook. Soziale Netzwerke eignen sich deshalb gut für Klickbetrug, weil die Nutzer untereinander bekannt und vernetzt sind. Erfahrungsgemäß nimmt die Vorsicht vor unbekannten Inhalten ab, wenn diese von Freunden oder Bekannten empfohlen wurden. Die Bereitschaft der Menschen, Empfehlungen von Bekannten zu vertrauen und z.B. Links zu öffnen, nutzt den Angreifern daher enorm. Konkret posten unseriöse Unternehmen dafür vor allem Medieninhalte mit reißerischen Bild- und Videotiteln, die das Interesse der Nutzer wecken sollen. Die Schaltflächen einer Anzeige oder Beschreibung sind dabei wiederum mit unsichtbaren Fenstern überlagert. Klickt ein Nutzer auf die empfohlene Anzeige oder Beschreibung, aktiviert er unbemerkt einen unsichtbar gestalteten Link und wird meist auf eine fremde Internetseite geleitet. Möchte er dort dann zum Beispiel ein beworbenes Video abrufen, aktiviert er wiederum eine unsichtbar gestaltete „Gefällt mir“-Schaltfläche. Das jeweilige Medium wird so unbemerkt und unwissentlich allen Freunden als Empfehlung auf der eigenen Profilseite angezeigt. Der Angreifer hat dadurch sein Ziel erreicht. Ein konkreter Medieninhalt wurde dergestalt weiterverbreitet, dass eine weitere Traffic-Steigerung zu erwarten ist.

Datenklau:

Folgenschwerer und teurer kann Clickjacking für Internetnutzer werden, wenn unbemerkt persönliche Daten an Hacker, Betrüger oder unseriöse Unternehmen übertragen wurden. Betrüger manipulieren dazu vor allem Internetseiten mit Formularen zur Anmeldung und Nutzung vermeintlich kostenfreier Dienste. Nutzer tragen – im Glauben daran eine kostenfreie Leistung beanspruchen zu können – persönliche Daten in das Formular einer Internetseite ein und übermitteln die eingegebenen Daten nach Absendung unbemerkt an Dritte. Je personenbezogener und sensibler gestohlene Daten sind, desto größer ist die Gefahr eines eintretenden Schadens. Vor allem Kreditkartendaten und Telefonnummern sind dabei von Interesse und großem Wert für Betrüger. Ist eine Mobilfunknummer gestohlen worden, wird oftmals der Abschluss kostenpflichtiger Abonnements initiiert. Diese werden dann als Drittanbieterleistung mit der Handyrechnung abgerechnet. Haben Angreifer Kreditkartendaten abgreifen können, wird oftmals versucht, die Kreditarte maximal zu belasten. Der Betroffene hat dabei nur wenig Chancen entstandene Schäden vom Verantwortlichen zurück zu verlangen. Eine Gefahr für Smartphone User besteht vor allem bei der Nutzung von Banking-Apps. Apps von unseriösen Anbietern, sind in der Lage die Nutzung von Banking-Apps zu bemerken. Nutzt der Bankkunde die App seiner Bank, wird ein verstecktes unsichtbares Fenster über die offizielle App gelegt, um eingegebene Daten zu stehlen. Der Nutzer überträgt so seine Bankdaten nicht an die Bank, sondern an unbekannte Dritte.

Änderung von Systemeinstellungen:

Clickjacking ermöglicht auch die Änderung von Systemeinstellungen. Nutzer laufen Gefahr, dass sie durch scheinbar harmlose Klicks unbemerkt die Kamera des Laptops oder das Mikrophon aktivieren. Für Dritte ist es auf diese Weise möglich, einen Computernutzer unbemerkt zu überwachen.

Malware und Viren:

Klickbetrug wird auch für die Verbreitung und Installation von Viren oder Malware genutzt. Computernutzer werden auch hierbei durch manipulierte Internetseiten aufgefordert, scheinbar übliche Aktionen auszuführen. Im schlimmsten Fall infizieren sie dabei das eigene genutzte technische Gerät mit Schadsoftware.

Rechtliche Risiken

In allen Konstellationen des Klickbetrugs, wird den Opfern die eigene Entscheidungsfreiheit geraubt. Internetnutzer verlieren die aktive Möglichkeit darüber zu entscheiden, welche Handlungen sie in eigenem Namen durchführen möchten. Die Einschränkung der eigenen Handlungs- und Entscheidungsfreiheit ist häufig jedoch mehr ein tatsächliches als ein rechtliches Problem. Beispielsweise können betroffene Facebook-Nutzer Anzeigen und Posts, die von ihnen ungewollt mit „gefällt mir“ markiert wurden, wieder von der Pinnwand entfernen. Neben dem ungewollten Missbrauch der eigenen Person als Verteiler von Spam-Nachrichten, werden sich häufig keine weiteren Nachteile realisieren. Geht es Hackern und unseriösen Unternehmen vor allem um eine schnelle Verbreitung von Webinhalten, ist das Ziel die betrügerische Monetarisierung von Traffic und weniger die Schädigung einer einzelnen Person. Hauptgeschädigte sind dabei Werbenetzwerke.

Eine darüber hinausgehende Gefahr für Internetnutzer besteht vor allem dann, wenn Clickjacking zum Diebstahl personenbezogener Daten genutzt wird. Gelingt es Hackern personenbezogene Daten wie Bankverbindung, Adresse, Handynummer oder Kreditkartendaten zu stehlen, können diese Daten zu vermeintlichen Vertragsschlüssen und betrügerischen Handlungen verwendet werden. Leicht können sich so erhebliche rechtliche Nachteile bei Betroffenen ergeben. Die Abwehr unberechtigter Forderungen ist in vielen Fällen zeitintensiv. Sind ungewollte Zahlungen oder Abbuchungen erfolgt, wird es in vielen Fällen nicht gelingen, Ersatz für entstandene Schäden vom Verursacher zu erhalten. (NIH)

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (0)

Kommentar schreiben | Trackback URL

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×