Tabjacking/Tabnabbing: ¿Qué es?

Tabnabbing Tabjacking

La humilde pestaña del navegador es algo que damos por sentado hoy en día, y la mayoría de nosotros probablemente nunca pensamos en el impacto que ha tenido en la forma en que navegamos por Internet. El concepto apareció por primera vez en lo que ahora es un navegador poco conocido llamado NetCaptor hace más de 20 años, y aunque la adopción fue inicialmente lenta, una vez que Opera y Firefox lo introdujeron a principios de la década de 2000, Internet Explorer de Microsoft se dio cuenta de que no tenía otra opción más que seguir el paquete, y las pestañas se convirtieron en la norma.

Hoy en día, nos dan la flexibilidad de centrarnos en múltiples tareas diferentes al mismo tiempo. Gracias a las pestañas del navegador, podemos cambiar rápidamente entre páginas web y podemos encontrar los recursos que necesitamos en cuestión de segundos. Las pestañas son enormemente útiles, pero también pueden ser un muy buen vector de ataque.

¿Qué es tabnabbing o tabjacking?

El concepto se discutió por primera vez hace unos diez años cuando los investigadores de seguridad se dieron cuenta de que una técnica simple pero inteligente podría permitir a los ciberdelincuentes llevar a cabo lo que es potencialmente un ataque de phishing extremadamente inteligente. Aquí está el escenario.

Digamos que durante su jornada laboral, tiene alrededor de una docena de pestañas del navegador que deben abrirse todo el tiempo. Uno de los sitios web abiertos en una pestaña ha sido comprometido anteriormente por piratas informáticos que han inyectado un código JavaScript. Mientras te enfocas en otra pestaña, el código malicioso cambia silenciosamente el contenido de la pestaña en la que está abierto, y en lugar del sitio web que has cargado, muestra una copia maliciosa de la página de inicio de sesión de Gmail. En un momento, estás pasando por todas las pestañas que has abierto y notas el aviso de inicio de sesión. Pensando que Gmail te ha desconectado automáticamente de tu cuenta, ingresas tu nombre de usuario y contraseña, el código JavaScript malicioso envía las credenciales a los delincuentes y, para hacer las cosas aún más creíbles, te redirige al Gmail real. Debido a que nunca cerró sesión en su cuenta, es muy probable que vea el contenido de su bandeja de entrada y no sospeche nada.

Como puede ver, es un ataque inteligente, pero ¿qué posibilidades hay de que sea víctima de él?

Tabnabbing está luchando por ganar popularidad entre los cibercriminales

En 2010, Brian Krebs discutió el ataque en detalle y explicó cuántas ventajas tiene sobre las herramientas más tradicionales o el comercio de los piratas informáticos. En aquel entonces, los especialistas en seguridad de la información ya habían creado algunas páginas de prueba de concepto, que mostraban cómo podría funcionar el tabnabbing en la naturaleza. Desde entonces, hemos visto diseños aún más pulidos que superaron algunas dificultades técnicas. Sin embargo, todos fueron publicados por investigadores de seguridad, y todos se exhibieron con la idea de proteger y educar a los usuarios, sin dañarlos.

Todavía tenemos que ver ataques de tabnabbing a gran escala contra usuarios de Internet desprevenidos. Parece que, por el momento, al menos, los delincuentes prefieren usar esquemas más tradicionales para robar las credenciales de las personas. No es fácil justificar esta decisión.

De hecho, el tabnabbing implica comprometer un sitio web e inyectar código en él, lo que lo convierte en un desafío técnico. Al mismo tiempo, sin embargo, la ingeniería social involucrada en las campañas clásicas de phishing está ausente en este caso. Quizás la mayoría de los delincuentes estén contentos con los resultados de los métodos probados y estimen que la innovación adicional no vale la pena. Dicho esto, no debes subestimar la amenaza.

¿Qué puedes hacer para protegerte de los tabnabbing?

Obviamente, un ataque tabnabbing solo puede funcionar contra usuarios que no tienen la costumbre de cerrar sus pestañas inactivas. Desafortunadamente, para muchas personas, usar menos pestañas es más fácil decirlo que hacerlo. Sin embargo, una mejor gestión de pestañas siempre puede ayudar. Los expertos aconsejan usar múltiples ventanas del navegador y organizar diferentes conjuntos de tareas en ellas. Si bien no es infalible, podría ayudarte a detectar algo sospechoso.

Desde una perspectiva técnica, puede intentar usar una extensión como No Script para bloquear cualquier código potencialmente malicioso que renueve silenciosamente las páginas y cargue formularios de inicio de sesión falsos. Sin embargo, si deja que bloquee todo el código JavaScript, muchos de sus sitios web favoritos no funcionarán correctamente, y para la mayoría de los usuarios, seleccionar manualmente qué secuencias de comandos deben detenerse es demasiado difícil.

Lo que realmente puede salvarte es tu propia atención al detalle. Como ya mencionamos, un ataque tabnabbing se basa en un formulario de inicio de sesión falso, y lo bueno de los formularios de inicio de sesión falsos es que no se pueden alojar en el dominio que intentan suplantar. Si establece el hábito de verificar dos veces la barra de direcciones de su navegador antes de ingresar su nombre de usuario y contraseña, tiene una buena oportunidad de protegerse tanto del uso de pestañas como del phishing más tradicional.

En Duran
April 3, 2020
Password Security
Spanish
April 3, 2020
Password Security

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.