Tabnabbing angrep - En ny Phishing-taktikk
De fleste av dere er klar over phishing, hvor en svindelprosess initieres med det formål å skaffe seg sensitiv informasjon som passord og kredittkortdetaljer, ved å presentere seg som en legitim enhet. Men hva om du er på en legitim side og siden du har sett, endrer seg til en bedragerisk side når du besøker en annen kategori? Dette kalles Tabnabbing!
Hvordan Tabnabbing fungerer
- Du navigerer til en ekte nettside.
- Du åpner en annen kategori og blar gjennom det andre nettstedet.
- Etter en stund kommer du tilbake til den første kategorien.
- Du blir møtt med nye påloggingsdetaljer, kanskje til Gmail-kontoen din.
- Du logger på igjen, ikke mistenker at siden, inkludert favicon, faktisk har endret seg bak ryggen din!
Dette kan alle gjøres med bare en liten bit av JavaScript som finner sted umiddelbart. Siden brukeren skanner sine mange åpne faner, fungerer favicon og tittel som et sterkt visuelt cue-minne, og kan formes, og brukeren vil trolig bare tro at de forlot en Gmail-kategori åpen. Når de klikker tilbake til den falske Gmail-fanen, ser de standard Gmail-innloggingssiden, antar at de har blitt logget ut, og oppgir deres legitimasjon for å logge på.
Angrepet preys på den oppfattede uforanderligheten til faner. Etter at brukeren har oppgitt innloggingsinformasjonen, og du har sendt den tilbake til serveren, omdirigerer du dem til Gmail. Fordi de aldri ble logget ut i utgangspunktet, vil det virke som om påloggingen var vellykket.Du besøker en nettside, du bytter til en annen kategori, og baksiden din, vil din første side bli endret!
Omvendt Tabnabbing
Omvendt Tabnabbing oppstår angriperens bruk window.opener.location.assign () å erstatte bakgrunnsfanen med et skadelig dokument. Selvfølgelig endrer denne handlingen også adresselinjen på bakgrunnsfanen, men angriperen håper at offeret blir mindre oppmerksomt og vil blindt legge inn passordet eller annen sensitiv informasjon når den kommer tilbake til bakgrunnsoppgaven, sier Google.
En vei ut ville være hvis alle nettstedseiere skulle bruke følgende tag:
target = "_ blank" rel = "noopener noreferrer"
For å forhindre at dette sikkerhetsproblemet utnyttes, har WordPress begynt å legge til noopener noreferrer-koder automatisk nå.
Ta en titt på Spear Phishing, Whaling og Vishing og Smishing svindel.