Väčšina z vás viete phishing, kde sa iniciuje podvodný proces s úmyslom získať citlivé informácie, ako sú heslá a podrobnosti o kreditných kartách, tým, že sa prezentuje ako legitímna entita. Čo však, ak ste na legitímnej stránke a stránka, ktorú ste hľadali, sa zmenia na podvodnú stránku, keď navštívite inú kartu? Toto sa volá Tabnabbing!
Ako funguje Tabnabbing
- Pohybujete sa na skutočný web.
- Otvoríte ďalšiu kartu a prehliadate ostatné stránky.
- Po chvíli sa vrátite na prvú kartu.
- Ste privítaní s novými prihlasovacími údajmi, možno aj do vášho účtu Gmail.
- Znova sa prihlasujete bez podozrenia, že stránka vrátane favikónu sa skutočne zmenila za chrbtom!
To všetko sa dá robiť len s malým okamihom JavaScript, ktorý sa odohráva okamžite. Keď používateľ vyhľadáva ich veľa otvorených kariet sa favicon a titul pôsobí ako silný vizuálny podnet-pamäte je poddajný a tvarovateľný a užívateľ bude s najväčšou pravdepodobnosťou jednoducho myslia, že zanechal kartu Gmail otvorený. Keď na tlačidlo späť na falošnú kartu Gmail, uvidia štandardné Gmail prihlasovaciu stránku, predpokladám, že ste boli odhlásený a poskytovať svoje prihlasovacie údaje pre prihlásenie.
Útok závisí od vnímania nezmeniteľnosti záložiek. Keď používateľ zadá svoje prihlasovacie údaje a odošlete ich späť na váš server, presmerujete ich na Gmail. Pretože sa na prvom mieste nikdy neodhlásili, zdá sa, že prihlásenie bolo úspešné.
Navštívite webovú stránku, prepnete na inú kartu a za vašou chrbtom sa vaša prvá stránka zmení!
Reverzná tabababing
Späť sa dohaduje, aký útočník používa window.opener.location.assign () nahradiť kartu pozadia so škodlivým dokumentom. Samozrejme, že táto akcia tiež zmení adresný riadok na karte na pozadí, ale útočník dúfa, že obeť bude menej pozorný a bude slepo zadať svoje heslo alebo iné citlivé informácie pri návrate do pozadia úlohu, hovorí Google.
Cesta by bola, keby všetci majitelia stránok používali nasledujúcu značku:
target='_blank' rel='noopener noreferrer'
Aby sa zabránilo zneužitiu tejto zraniteľnosti, WordPress začal automaticky pridávať značky noopener noreferrer automaticky.
Teraz sa pozrite na Spear Phishing, Whaling a Vishing a Smishing podvody.
