Nowy rodzaj phishingu – tabnabbing
Data: 27 maja 2010 | Autor: Mikołaj Rutkowski | Brak komentarzy »
Cóż, świat idzie do przodu, a razem z nim oszuści. W sieci, na blogu jednego z deweloperów Firefoxa, Azy Raskina, pojawił się niedawno wpis o nowej możliwości wyłudzania poufnych danych identyfikacyjnych, tym razem za pomocą skryptów podmieniających “normalną” przeglądaną przez nas stronę. Raskin wspomina, że podatne na ten mechanizm są w tej chwili Firefox i Chrome, nie wspomina natomiast o Internet Explorerze.
Jak to działa? Cały pomysł oparty jest na braku uwagi przeglądających naraz szereg stron www w kartach. Otóż wystarczy wstawić do kodu strony przemyślny skrypt (Raskin zamieszcza zresztą przykładowy skrypt na swojej stronie), który po określonym czasie nieaktywności użytkownika dana karta “odświeżyła” stronę, ładując na niej inną, spreparowaną stronę, zachęcającą użytkownika do podania informacji identyfikacyjnych. Może to być strona logowania do banku, poczty e-mail, czy innej usługi sieciowej. Zajęty przeglądaniem innych stron użytkownik w większości wypadków stwierdzi po prostu, że z powodu dłuższej nieaktywności wygasła mu sesja w poczcie, czy banku. Po wypełnieniu danych logowania, wędrują one do przestępców, a strona wczytuje właściwą stronę, tj. tą, której użytkownik oczekuje. Prawda, że proste?
Oczywiście, żeby ta forma ataku była skuteczna i przyniosła przestępcom profity, trzeba dobrze upozycjonować ten atak, czyli podstawiać użytkownikom takie strony, z których korzystają. No bo jeśli załaduje mi się strona np. PKO BP, z którego nie korzystam, to wątpliwe, abym podał na niej wartościowe dane. Niemniej jednak sztuczka ta może zadziałać w przypadku najbardziej popularnych witryn bankowych. Inną metodą jest uzyskanie historii wizyt internetowych danego użytkownika i wykorzystanie szablonów serwisów, które faktycznie on odwiedza. Jest na to szereg sposobów, na opisanie których nie ma tutaj miejsca.
Sposób obrony? Chwilowo brak, pozostaje zatem zdrowy rozsądek i uwaga. Raskin pokłada co prawda spore nadzieje w tworzonym przez team Mozilli Firefox Account Managerze, ale przydatność tego dodatku będziemy mogli przetestować dopiero za jakiś czas.
Skomentuj wpis
Musisz być zalogowany/a, żeby zamieszczać komentarze.