Tabjacking/Tabnabbing: Hvad er det?
Den ydmyge browserfane er noget, vi tager for givet i dag, og de fleste af os har sandsynligvis aldrig tænkt over, hvilken indflydelse det har haft på den måde, vi surfer på Internettet. Konceptet optrådte først i den nuværende en lidt kendt browser kaldet NetCaptor for mere end 20 år siden, og selvom vedtagelsen oprindeligt var langsom, når Opera og Firefox først introducerede det i de tidlige 2000'ere, indså Microsofts Internet Explorer at det ikke havde nogen anden mulighed, men at følge pakken, og faner blev normen.
I dag giver de os fleksibiliteten ved at fokusere på flere forskellige opgaver på samme tid. Takket være browserfane kan vi hurtigt skifte mellem websider, og vi kan finde de ressourcer, vi har brug for i løbet af få sekunder. Faner er massivt nyttige, men de kan også være en meget god angrebsvektor.
Table of Contents
Hvad er tabnabbing eller tabjacking?
Konceptet blev først drøftet for omkring ti år siden, da sikkerhedsforskere indså, at en enkel, men smart teknik kunne give cyberkriminelle mulighed for at trække det, der potentielt er et ekstremt smart phishing-angreb, ud. Her er scenariet.
Lad os sige, at du i løbet af din arbejdsdag har omkring et dusin browsertabeller, der skal åbnes hele tiden. Et af webstederne, der er åbnet i en fane, er tidligere kompromitteret af hackere, der har injiceret et stykke JavaScript-kode. Mens du fokuserer på en anden fane, ændrer den ondsindede kode lydløst indholdet af fanen, den åbnes i, og i stedet for det websted, du har indlæst selv, viser den en ondsindet kulkopi af Gmail's login-side. På et tidspunkt går du igennem alle de faner, du har åbnet, og du bemærker login-prompten. Når du tænker på, at Gmail automatisk har logget dig ud af din konto, indtaster du dit brugernavn og din adgangskode, den ondsindede JavaScript-kode sender legitimationsoplysningerne til skurkerne, og for at gøre tingene endnu mere troværdige, omdirigerer det dig til den rigtige Gmail. Fordi du faktisk aldrig blev logget ud af din konto, kan du sandsynligvis se indholdet i din indbakke og mistænker intet.
Som du kan se, er det et smart angreb, men hvor sandsynligt er det, at du bliver offer for det?
Tabnabbing kæmper for at vinde popularitet hos cyberkriminelle
I 2010 diskuterede Brian Krebs angrebet detaljeret og forklarede, hvor mange fordele det har i forhold til de mere traditionelle værktøjer eller hackers handel. Dengang var specialister inden for informationssikkerhed allerede kommet med et par proof-of-concept-sider, som viste, hvordan tabnabbing muligvis fungerer i naturen. Siden da har vi set endnu mere poleret design, der har overvundet nogle få tekniske vanskeligheder. De blev dog alle offentliggjort af sikkerhedsforskere, og de blev alle vist med ideen om at beskytte og uddanne brugere og ikke skade dem.
Vi har endnu ikke set nogen store angreb på tabnabbing mod intetanende internetbrugere. Det ser ud til, at indtil videre i det mindste forkrydderne bruger mere traditionelle ordninger til at stjæle folks legitimationsoplysninger. Det er ikke let at retfærdiggøre denne beslutning.
Tabnabbing indebærer faktisk at kompromittere et websted og indsprøjte kode på det, hvilket gør det mere af en teknisk udfordring. Samtidig er den sociale ingeniør, der er involveret i de klassiske phishing-kampagner, ikke til stede i dette tilfælde. Måske er de fleste af skurkerne tilfredse med resultaterne af de afprøvede metoder og regner med, at den ekstra innovation ikke er værd at gøre. Når det er sagt, må du ikke undervurdere truslen.
Hvad kan du gøre for at beskytte dig selv mod faneblad?
Det er klart, at et tabnabbeangreb kun kan virke imod brugere, der ikke har for vane at lukke deres inaktive faner. Desværre er det lettere for mange at bruge færre faner end gjort. Ikke desto mindre kan bedre fanehåndtering altid hjælpe. Eksperter rådgiver om at bruge flere browservinduer og arrangere forskellige sæt opgaver i dem. Selvom det ikke er idiotsikkert, kan det måske bare hjælpe dig med at få øje på noget mistænkeligt.
Fra et teknisk perspektiv kan du prøve at bruge en udvidelse som No Script til at blokere enhver potentielt ondsindet kode fra lydfrit forfriskende sider og indlæse falske loginformularer. Hvis du lader det blokere al JavaScript-kode, fungerer mange af dine foretrukne websteder imidlertid ikke ordentligt, og for de fleste brugere er det for vanskeligt at vælge manuelt, hvilke scripts der skal stoppes.
Det, der virkelig kan redde dig, er din egen opmærksomhed på detaljer. Som vi allerede har nævnt, afhænger et tabnabbing-angreb på en falsk login-form, og det gode ved falske login-formularer er, at de ikke kan være vært på det domæne, de prøver at efterligne sig. Hvis du fastlægger en vane med at dobbeltkontrol af adresselinjen i din browser, før du indtaster dit brugernavn og din adgangskode, har du en god chance for at beskytte dig selv fra både fanebladeknap og mod mere traditionel phishing.
