Daugelis iš jūsų žino Sukčiavimas, kai inicijuojamas nesąžiningas procesas siekiant gauti slaptą informaciją, pvz., slaptažodžius ir kredito kortelių duomenis, pateikiant save kaip teisėtą subjektą. Bet ką daryti, jei esate teisėtu puslapiu ir puslapiu, kurį ieškojote, pakeičia apgaulingą puslapį, kai lankotės kitame skirtuke? Tai vadinama Tabnabbing!
Kaip veikia Tabnabbing
- Jūs pereinate į tikrą svetainę.
- Jūs atidarote kitą skirtuką ir naršykite kitą svetainę.
- Po kurio laiko grįšite prie pirmojo skirtuko.
- Sveiki atvykę su šviežiais prisijungimo duomenimis, galbūt į savo "Gmail" paskyrą.
- Jūs vėl prisijungiate, nesvarbu, ar puslapis, įskaitant favicon, iš tikrųjų pasikeitė už nugaros!
Tai gali būti padaryta tik šiek tiek "JavaScript", kuris vyksta akimirksniu. Kai vartotojas nuskaito daugybę atidarytų skirtukų, piktograma ir pavadinimas veikia kaip stipri vizualinė kablelio atmintis, yra kaliojo ir lengvai formuojamas, o vartotojas greičiausiai tiesiog manys, kad jie atidarė "Gmail" skirtuką. Kai jie spustelėja atgal į netikrą "Gmail" skirtuką, jie pamatys standartinį "Gmail" prisijungimo puslapį, darysime prielaidą, kad jie buvo atsijungę, ir pateikti savo prisijungimo duomenis.
Ši ataka kelia susimąstomą skirtukų nestabilumą. Kai vartotojas įvedė savo prisijungimo informaciją ir išsiuntė ją atgal į savo serverį, nukreipiate juos į "Gmail". Kadangi jie niekada nebuvo atsijungę iš pradžių, jis pasirodys taip, tarsi prisijungimas būtų sėkmingas.
Apsilankote tinklalapyje, perjungiate į kitą skirtuką, o už nugaros - pirmasis puslapis pasikeis!
Grįžtamoji "Tabnabbing"
Grįžtamoji "Tabnabbing" įvyksta, kai užpuolikas naudoja window.opener.location.assign () pakeisti fono skirtuką kenkėjišku dokumentu. Žinoma, šis veiksmas taip pat keičia fono skirtuko adreso juostą, tačiau užpuolikas tikisi, kad nukentėjusysis bus mažiau dėmesingas ir aklai įvesti savo slaptažodį arba kitą slaptą informaciją, grįždamas į fono užduotį, sako "Google".
Išeitis būtų, jei visi svetainių savininkai turėtų naudoti šią žymę:
target='_blank' rel='noopener noreferrer'
Siekiant užkirsti kelią šiam pažeidžiamumui išnaudoti, "WordPress" dabar pradėjo automatiškai pridėti "noopener" noreferrer žymeles.
Dabar pažvelk į "Spear Phishing", "Banginių", "Vishing" ir "Smishing" sukčiavimą.
