Si chiama “tabnabbing” ed è una nuova forma di phishing che si sta diffondendo sul Web. Questo tipo di attacco sfrutta l’abitudine degli utenti di aprire più schede all’interno del browser durante la normale navigazione Internet per consultarle poi una ad una.
Nel tabnabbing, la vittima clicca su un link trovato su Internet e finisce su una pagina dall’aria del tutto innocua che non gli chiede password o altro e quindi non lo mette sul chi vive, ma ha un contenuto interessante. Così la vittima non la chiude ma passa a un’altra scheda del browser. Quello che l’utente non si aspetta è che la pagina-trappola a questo punto aspetta che nessuno la stia guardando e si trasforma: cambia la propria icona (favicon) e il proprio contenuto, diventando una pagina che richiede l’autenticazione per un servizio adoperato dall’utente: per esempio, la login di Gmail.
La vittima penserà molto probabilmente di aver lasciato aperta una scheda del servizio e crederà di essere stato scollegato dal servizio per mancato utilizzo, come avviene periodicamente, e quindi immetterà nella pagina-trappola le proprie credenziali nel tentativo di fare login, regalando così all’aggressore i propri codici. Per completare il furto con destrezza, l’aggressore può poi trasferire l’utente e le sue credenziali alla pagina vera del servizio, così l’utente farà effettivamente login e non si accorgerà che gli è stata sottratta la password di accesso.
L’attacco può essere perfezionato e personalizzato utilizzando la cronologia memorizzata nel browser.
La trappola, come nota Raskin, si basa sull’idea sbagliata che una scheda sia immutabile e usa il forte richiamo visivo di un’icona. Una dimostrazione di questo tipo di attacco è presente su questa pagina del blog di Aza Raskin, Creative Lead di Firefox. Per vedere come funziona, basta aprire la pagina e poi spostarsi su un’altra tab facendo passare più di 5 secondi. Ritornati sulla pagina di prima, questa si sarà trasformata nella schermata di login di Gmail.
fonti : http://attivissimo.blogspot.com ; http://news.wintricks.it
