S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Angriff

Clickjacking

Angriff, bei dem eine unsichtbare oder getarnte Schicht über einer legitimen Webseite platziert wird, damit Nutzer unbeabsichtigt auf versteckte Elemente klicken.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Du siehst einen Button "Jetzt spielen" und klickst darauf. Was du nicht weißt: Über diesem Button liegt unsichtbar ein echtes "Kaufen"-Element einer Shopping-Seite. Du hast gerade etwas gekauft, ohne es zu wollen. Der Trick: Du siehst was anderes, als du anklickst.

Ausführliche Erklärung

Clickjacking (auch UI Redressing) überlagert eine legitime Website mit einem transparenten iframe. Der Nutzer sieht die gefälschte Oberfläche, klickt jedoch tatsächlich auf Elemente der darunterliegenden echten Seite. Anwendungsfälle: unbeabsichtigtes Autorisieren von OAuth-Berechtigungen, Like-Jacking auf Social Media, Aktivieren von Webcams/Mikrofonen oder Auslösen von Zahlungen. Schutz: X-Frame-Options Header, Content Security Policy frame-ancestors Direktive.

>Wie funktioniert das?

1

Angreifer erstellt eine Seite mit einem transparenten iframe der eine legitime Site einbettet

2

Iframe wird präzise positioniert, sodass ein sensibles Element (Button, Link) unter dem sichtbaren Köder liegt

3

Nutzer interagiert mit der sichtbaren Oberfläche

4

Klick trifft tatsächlich das transparente legitime Element

5

Unbeabsichtigte Aktion wird ausgeführt (Kauf, Berechtigungserteilung, Dateiupload).

?Häufig gestellte Fragen
Antwort

Primär Nutzer auf bösartigen Webseiten — aber auch Webentwickler die vergessen, X-Frame-Options oder CSP frame-ancestors zu setzen, machen ihre Seiten einbettbar.

Antwort

Eine Facebook-spezifische Clickjacking-Variante, bei der Nutzer unbeabsichtigt Seiten liken oder Inhalte teilen — früher verbreitet, durch moderne Browsermaßnahmen heute seltener.

Antwort

Zum unbeabsichtigten Erteilen von App-Berechtigungen, Social-Media-Aktionen, Aktivieren von Kamera/Mikrofon, Auslösen von Transaktionen oder Verbreiten von Spam.

Antwort

Weil der Nutzer eine normale Seite sieht — die Manipulation ist vollständig unsichtbar. Ohne Entwicklertools ist keine Überlagerung erkennbar.

Antwort

Durch Setzen des X-Frame-Options: DENY oder SAMEORIGIN Headers, CSP frame-ancestors Direktive und Frame-Busting-JavaScript als zusätzliche Schicht.

Quick Facts
KategorieAngriff
Verwandte Begriffe3
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC