Tabjacking/Tabnabbing: Hva er det?
Den ydmyke nettleserfanen er noe vi tar for gitt nå for tiden, og de fleste av oss har nok aldri tenkt på hvilken innvirkning det har hatt på måten vi surfer på internett. Konseptet dukket først opp i det som nå er en lite kjent nettleser kalt NetCaptor for mer enn 20 år siden, og selv om adopsjonen opprinnelig var treg, en gang Opera og Firefox introduserte den på begynnelsen av 2000-tallet, innså Microsofts Internet Explorer at den ikke hadde noe annet alternativ enn å følge pakken, og faner ble normen.
I dag gir de oss fleksibiliteten til å fokusere på flere forskjellige oppgaver samtidig. Takket være nettleserfaner kan vi raskt skifte mellom websider, og vi kan finne ressursene vi trenger i løpet av sekunder. Faner er massivt nyttige, men de kan også være en veldig god angrepsvektor.
Table of Contents
Hva er tabnabbing eller tabjacking?
Konseptet ble først diskutert for ti år siden da sikkerhetsforskere innså at en enkel, men smart teknikk kunne tillate cyberkriminelle å trekke av det som potensielt er et ekstremt smart phishing-angrep. Her er scenariet.
La oss si at i løpet av arbeidsdagen din har du omtrent et dusin nettleserfaner som må åpnes hele tiden. Et av nettstedene som er åpnet i en fane, har tidligere blitt kompromittert av hackere som har injisert et stykke JavaScript-kode. Mens du fokuserer på en annen fane, endrer den ondsinnede koden lydløst innholdet i fanen den åpnes i, og i stedet for nettstedet du har lastet inn selv, viser den en ondsinnet karbonkopi av Gmail-påloggingssiden. På et tidspunkt går du gjennom alle fanene du har åpnet, og du merker påloggingsmeldingen. Når du tenker på at Gmail automatisk har logget deg ut av kontoen din, skriver du inn brukernavnet og passordet ditt, den ondsinnede JavaScript-koden sender legitimasjonsbeskrivelsen til kjeltringene, og for å gjøre ting enda mer troverdig, viderekobler det deg til den virkelige Gmail. Fordi du faktisk aldri ble logget ut av kontoen din, er det sannsynlig at du ser innholdet i innboksen din og mistenker ingenting.
Som du ser er det et smart angrep, men hvor sannsynlig er det at du blir offer for det?
Tabnabbing sliter med å få popularitet hos nettkriminelle
I 2010 diskuterte Brian Krebs angrepet i detalj og forklarte hvor mange fordeler det har i forhold til de mer tradisjonelle verktøyene eller hackernes handel. Da hadde informasjonssikkerhetsspesialister allerede kommet med noen få proof-of-concept-sider, som viste hvordan tabnabbing kan fungere i naturen. Siden den gang har vi sett enda mer polerte design som har overvunnet noen få tekniske vanskeligheter. De ble imidlertid alle utgitt av sikkerhetsforskere, og de ble alle vist med ideen om å beskytte og utdanne brukere, ikke å skade dem.
Vi har ennå ikke sett noen store angrep på tabnabbing mot intetanende internettbrukere. Det ser ut til at foreløpig i det minste foretrekker skurkene å bruke mer tradisjonelle ordninger for å stjele folks legitimasjon. Det er ikke lett å begrunne denne beslutningen.
Tabnabbing innebærer faktisk å kompromittere et nettsted og injisere kode i det, noe som gjør det mer til en teknisk utfordring. Samtidig er imidlertid sosialteknikken som er involvert i de klassiske phishing-kampanjene fraværende i dette tilfellet. Kanskje er de fleste av kjeltringene fornøyde med resultatene av de velprøvde metodene og regner med at den ekstra innovasjonen ikke er verdt innsatsen. Når det er sagt, må du ikke undervurdere trusselen.
Hva kan du gjøre for å beskytte deg mot tabnabbing?
Selvfølgelig kan et tabnabbangrep bare virke mot brukere som ikke har for vane å lukke sine inaktive faner. Dessverre, for mange mennesker, er det lettere å bruke færre faner enn gjort. Likevel kan bedre tabhåndtering alltid hjelpe. Eksperter gir råd om å bruke flere nettleservinduer og ordne forskjellige sett med oppgaver i dem. Selv om det ikke er idiotsikkert, kan det bare hjelpe deg å oppdage noe mistenkelig.
Fra et teknisk perspektiv kan du prøve å bruke en utvidelse som Ingen skript for å blokkere potensielt skadelig kode fra stille forfriskende sider og laste falske påloggingsformer. Hvis du lar den blokkere all JavaScript-kode, vil mange av favorittnettstedene dine imidlertid ikke fungere ordentlig, og for flertallet av brukerne er det for vanskelig å manuelt velge hvilke skript som må stoppes.
Det som virkelig kan redde deg er din egen oppmerksomhet på detaljer. Som vi allerede nevnte, er et tabnabbangrep avhengig av et falskt påloggingsskjema, og det gode med falske påloggingsformer er at de ikke kan være vert på domenet de prøver å etterligne seg. Hvis du finner ut vanen med å dobbeltsjekke adressefeltet i nettleseren din før du skriver inn brukernavnet og passordet ditt, har du en god sjanse til å beskytte deg mot både tabnabbing og mer tradisjonell phishing.
