Tabnabbing

Tabnabbing je v informatice název pro exploit a phishingový útok, který je založen na vylákání přihlašovacích údajů a hesel od uživatelů k jejich oblíbeným webovým službám prostřednictvím imitace webových stránek příslušných služeb a přesvědčení uživatelů o jejich autenticitě.

Charakteristika

Název útoku byl vytvořen na počátku roku 2010 Azou Raskinem, bezpečnostním výzkumníkem a designovým expertem.[1][2] Útok zneužívá uživatelské důvěry a nepozornosti k detailu, co se týče karet prohlížeče, a schopnosti moderních webových stránek přepsat svůj obsah dlouho poté, co byla stránka načtena. Tabnabbing funguje opačným způsobem oproti většině phishingovým útokům v tom, že nenabízí uživateli možnost kliknutí na podvodný odkaz, ale místo toho načte podvodnou stránku do jedné z karet v prohlížeči.[3]

Popis činnosti

Exploit využívá skript k přepsání webové stránky imitací známé webové služby poté, co byla daná stránka ponechána nějakou dobu bez povšimnutí. Uživatel, který ke stránce po chvíli vrátí, nalézá přepsanou webovou stránku, může být přesvědčen o její autenticitě a zadá své uživatelské údaje, heslo a další osobní údaje, které mohou být posléze zneužity. Útok pak má větší šanci na úspěch, pokud skript kontroluje sítě, které uživatel procházel v minulosti, nebo jejichž stránky má otevřené v jiných záložkách. Útok může být též proveden i se zakázaným JavaScriptem prostřednictvím použití tagu meta refresh používanému k přesměrování, který způsobí opětovné načtení specifikované nové stránky po zadaném časovém intervalu.[4]

Obrana

Například rozšíření NoScript pro prohlížeč Mozilla Firefox je schopen zabránit útokům založeným jak na JavaScriptu, tak bezskriptovým útokům založeným právě na tagu meta refresh prostřednictvím znemožnění neaktivním kartám změnit adresu načtené stránky.[5]

Reference

V tomto článku byl použit překlad textu z článku Tabnabbing na anglické Wikipedii.

  1. CLABURN, Thomas. Tabnapping attack makes phishing easy [online]. Information Week, 2010-05-25 [cit. 2012-02-19]. Dostupné online. (anglicky) 
  2. Aza Raskin's original tabnabbing disclosure [online]. Azarask.in, 2010-05-25 [cit. 2012-02-19]. Dostupné v archivu pořízeném dne 2012-02-17. (anglicky) 
  3. Christina Warren 164. New Type of Phishing Attack Goes After Your Browser Tabs [online]. Mashable.com, 2010-05-25 [cit. 2012-02-19]. Dostupné online. (anglicky) 
  4. ADLER, Eitan. Eitan Adler's thoughts: Tabnabbing Without Javascript [online]. Blog.eitanadler.com, 2010-05-30 [cit. 2012-02-19]. Dostupné online. (anglicky) 
  5. NoScript 1.9.9.81 changelog announcing specific tabnapping protection [online]. Noscript.net [cit. 2012-02-19]. Dostupné online. (anglicky)