Nová metoda phishingového útoku: Tabnapping

1. 6. 2010

Sdílet

Tabnapping je způsob útoku, který je založen na manipulaci se záložkami otevřenými ve webovém prohlížeči. Podvodná záložka se nepozorovaně změní v době, kdy si uživatel prohlíží jiný obsah.

Manipulace s jinou otevřenou záložkou (kartou, tabem...) se realizuje nejčastěji pomocí JavaScriptu. Scénář útoku může být například následující: Máte otevřený webový e-mail nebo sociální síť. Současně ale jinde klepnete na odkaz, který vás zavede na podvodnou nebo infikovanou stránku.

Dokud je podvodný nebo infikovaný web aktivní, nic podezřelého nedělá. Potichu se změní až ve chvíli, kdy uživatel přejde na jinou záložku (k tomu je skript, aby to web poznal – jinak by samozřejmě stačilo obyčejné přesměrování). Výsledkem bude phishingová stránka tvářící se jako přihlašovací formulář ke službě otevřené v jiné záložce (jak to lze poznat, popisuje článek o této technice na Root.cz).

Uživatel se v záložkách pořádně nevyzná, zvlášť pokud jich má otevřené velké množství. Bude si dejme tomu myslet, že byl mezitím automaticky odhlášen, a důvěřivě zadá na phishingovém webu přihlašovací údaje znovu. Server shrábne údaje a zobrazí službu (tu, co je nejspíš otevřena na jiné záložce). Protože člověk ve skutečnosti odhlášen nebyl, lze provést přesměrování na původní aplikaci. Stopy jsou zameteny, podezření nevzniká žádné.

V celém procesu si uživatel může triku všimnout prakticky jediným způsobem – v adresním řádku prohlížeče. Pokud uživatel ale uvidí „povědomou“ záložku, pravděpodobně to vůbec nezaznamená.

Jediné štěstí je, že tímto způsobem se budou asi spíše krást přístupové údaje ke GMailu či Facebooku (obecně často používaným aplikacím) něž dejme tomu k on-line systémům českých bank. Takové účty na PayPalu nebo eBay už ovšem ohroženy jsou.

Tak, jak techniku popsal Aza Raskin, jeden z vedoucích vývojářů Firefoxu, je její účinnost omezena podle prohlížeče či dalších nastavení (např. různé doplňky zakazující skripty apod.). Někdy se ani při přesměrování nepodaří změnit název záložky a ikonu v panelu. V principu je ale tabnapping použitelný skoro kdykoliv, podle všeho i bez skriptů.

 

Zdroj: Krebs On Security, Computerworld

 

ICTS24

Poznámka: Doporučení mít on-line banking v samostatném okně (nebo dokonce možná jediném otevřeném okně) prohlížeče je univerzální. Nedělat během práce s účtem nic jiného, pak okno zavřít atd.