
Passwortmanager schützen Ihre Passwörter und sensiblen Daten. Sie können aber auch ausgenutzt werden, sodass Angreifer Zugriff auf diese Informationen erhalten. Eine neu entdeckte DOM-basierte Clickjacking-Methode kann einige Passwortmanager dazu verleiten, Anmeldeinformationen automatisch in bösartige Formulare einzutragen. Im Folgenden erklären wir, wie dieser Angriff funktioniert und wie Sie Ihre Abwehr stärken können.
Die Schwachstellen von Passwortmanagern verstehen
Jüngste Erkenntnisse deuten auf einen Exploit im Document Object Model (DOM) hin, der eine Variante des Clickjackings ermöglicht. Angreifer können so heimlich die AutoFill-Funktion von Passwortmanagern aktivieren. Dies kann zum Diebstahl sensibler Daten wie Passwörtern, TOTP/2FA-Codes und Kreditkarteninformationen führen. Der Angriff läuft wie folgt ab:
- Der Benutzer landet auf einer vom Angreifer kontrollierten Webseite, die ein scheinbar harmloses anklickbares Element präsentiert, beispielsweise ein Cookie-Einwilligungsbanner oder eine Popup-Schaltfläche zum Schließen.
- Mithilfe von DOM-Sichtbarkeitstricks positioniert der Angreifer ein unsichtbares Formular über dem legitimen anklickbaren Element, indem er Folgendes einstellt
opacity:0
:. - Beim Klicken füllt der Passwort-Manager des Benutzers das versteckte Formular automatisch mit gespeicherten Anmeldeinformationen aus, sodass Cyberkriminelle diese erfassen können.
Dieser gesamte Vorgang erfolgt im Hintergrund, oft ohne dass der Benutzer merkt, dass seine Daten kompromittiert wurden. Eine aktuelle Studie untersuchte elf führende Passwortmanager und legte nahe, dass die meisten mit AutoFill-Funktion anfällig sind. Als Reaktion auf diese Ergebnisse haben mehrere Passwortmanager Updates mit einer Bestätigungsaufforderung für die AutoFill-Funktion veröffentlicht, doch viele bleiben weiterhin gefährdet.
Die meisten dieser Patches sind jedoch nur vorübergehende Lösungen und beheben das zugrunde liegende Problem, das in den Rendering-Prozessen der Browser liegt, nicht. Wie 1Password betont, „liegt das Kernproblem in der Art und Weise, wie Browser Webseiten rendern. Wir glauben, dass eine umfassende technische Lösung allein durch Browser-Erweiterungen nicht möglich ist.“
Um die mit Clickjacking-Angriffen verbundenen Risiken zu minimieren, sollten Sie neben der Aktualisierung Ihrer Passwort-Manager-Erweiterung auch die folgenden Best Practices berücksichtigen.
Deaktivieren Sie die automatische Vervollständigung in Ihrem Passwort-Manager
Da die automatische Vervollständigung die Hauptfunktion ist, die bei solchen Angriffen ausgenutzt wird, kann das Deaktivieren dieser Funktion Ihre Sicherheit erheblich verbessern. Anstatt Felder automatisch auszufüllen, müssen Sie sie bei Bedarf manuell ausfüllen, indem Sie auf eine dafür vorgesehene Schaltfläche klicken.

Um die automatische Vervollständigung zu deaktivieren, navigieren Sie zu den Einstellungen Ihrer Passwort-Manager-Erweiterung und suchen Sie den Schalter unter dem Abschnitt „Automatisch ausfüllen und speichern“.Deaktivieren Sie die automatische Vervollständigung beim Fokus, um eine automatische Eingabe zu vermeiden.
Konfigurieren Sie Erweiterungen für den On-Click- oder Site-spezifischen Zugriff
In den meisten Browsern können Sie Erweiterungen so konfigurieren, dass sie entweder ausschließlich auf bestimmten Websites oder nur bei manueller Aktivierung über das Erweiterungssymbol aktiviert werden. Durch das Festlegen dieser Parameter können Sie unerwünschte AutoFill-Aktionen auf Websites, die für das allgemeine Surfen gedacht sind, wirksam verhindern.
Besuchen Sie die Seite „Erweiterungen“ Ihres Browsers und rufen Sie dort die Details Ihres Passwort-Managers auf. Suchen Sie nach dem Abschnitt „Site-Zugriff“, der standardmäßig auf „Auf allen Sites“ eingestellt ist.Ändern Sie dies in „ Beim Klicken“ oder geben Sie bestimmte Sites Ihrer Wahl an. Bei Auswahl von „Beim Klicken“ wird die Aktivierung auf einen Klick auf das entsprechende Symbol beschränkt, während „ Auf bestimmten Sites“ die Aktivierung nur auf vordefinierten Websites aktiviert.

Entscheiden Sie sich für Desktop- oder mobile Apps statt Browsererweiterungen
Da Clickjacking-Angriffe sich hauptsächlich auf Browsererweiterungen konzentrieren, kann die Nutzung der nativen Desktop- oder Mobilanwendungen Ihres Passwort-Managers Ihre Anfälligkeit verringern. Diese Anwendungen bieten in der Regel einfache Such- und Kopierfunktionen, um die manuelle Eingabe zu vereinfachen.
Suchen Sie beim Zugriff auf eine Anmeldeseite einfach in der Passwort-Manager-App nach Ihren Anmeldeinformationen und verwenden Sie die Kopierfunktion für eine einfachere Eingabe.
Verwenden Sie eine Skriptblockierungserweiterung
Viele Clickjacking-Angriffe basieren stark auf Skripten, die auf der Webseite ausgeführt werden. Daher sind Skriptblocker eine wirksame Verteidigungslinie. Das Blockieren von JavaScript kann diese Angriffe zwar verhindern, wir empfehlen jedoch einen umfassenderen Ansatz, indem Sie für optimale Sicherheit alle Skripte auf nicht vertrauenswürdigen Domänen blockieren.

NoScript ist eine robuste Erweiterung, die diesem Bedarf gerecht wird und sowohl für Chrome als auch für Firefox verfügbar ist. Sie blockiert automatisch verschiedene Formen aktiver Skripte, einschließlich JavaScript, und ermöglicht Ihnen die selektive Aktivierung von Skripten auf vertrauenswürdigen Websites.
Bonus-Tipp: Verbessern Sie die Kontosicherheit
Um sich vor dem Diebstahl von Anmeldeinformationen zu schützen, ist die Implementierung zusätzlicher Sicherheitsmaßnahmen unerlässlich. Die Zwei-Faktor-Authentifizierung (2FA) wird dringend empfohlen. Setzen Sie jedoch auf eine robuste 2FA-Methode, die über die häufig kompromittierte SMS-Verifizierung hinausgeht. TOTP ist ein guter Ausgangspunkt, stellen Sie jedoch sicher, dass sich die Authentifizierungs-App auf einem anderen Gerät befindet. Erwägen Sie zusätzlich die Verwendung von Passkeys oder Hardware-Sicherheitsschlüsseln für einen noch besseren Schutz.
Um potenzielle Sicherheitslücken zu minimieren, sollten Sie sich nicht zu sehr auf automatische Anmeldelösungen verlassen. Auch wenn hierfür möglicherweise zusätzliche Schritte erforderlich sind, erhöht dieser kleine Aufwand Ihre Sicherheit erheblich, insbesondere wenn Sie umfangreiche vertrauliche Informationen in Ihrem Passwort-Manager speichern.
Schreibe einen Kommentar