Tabjacking/Tabnabbing: wat is het?
Het bescheiden browsertabblad is iets dat we tegenwoordig als vanzelfsprekend beschouwen, en de meesten van ons hebben waarschijnlijk nooit nagedacht over welke impact het heeft gehad op de manier waarop we op internet surfen. Het concept verscheen voor het eerst in wat nu een weinig bekende browser is, NetCaptor genaamd, meer dan 20 jaar geleden, en hoewel de aanvaarding aanvankelijk traag was, realiseerde Microsoft's Internet Explorer zich, toen Opera en Firefox het begin 2000 introduceerden, dat het geen andere optie had dan om het pakket te volgen, en tabbladen werden de norm.
Tegenwoordig geven ze ons de flexibiliteit om ons tegelijkertijd op meerdere verschillende taken te concentreren. Dankzij browsertabbladen kunnen we snel schakelen tussen webpagina's en kunnen we binnen enkele seconden de bronnen vinden die we nodig hebben. Tabbladen zijn enorm handig, maar ze kunnen ook een zeer goede aanvalsvector zijn.
Table of Contents
Wat is tabnabbing of tabjacking?
Het concept werd ongeveer tien jaar geleden voor het eerst besproken toen beveiligingsonderzoekers zich realiseerden dat een eenvoudige maar slimme techniek cybercriminelen in staat zou kunnen stellen een potentieel uiterst slimme phishing-aanval uit te voeren. Hier is het scenario.
Laten we zeggen dat u tijdens uw werkdag ongeveer een dozijn browsertabbladen heeft die de hele tijd moeten worden geopend. Een van de websites die op een tabblad is geopend, is eerder gehackt door hackers die een stukje JavaScript-code hebben geïnjecteerd. Terwijl u zich op een ander tabblad concentreert, verandert de schadelijke code in stilte de inhoud van het tabblad waarin het is geopend, en in plaats van de website die u zelf hebt geladen, wordt er een kwaadaardige kopie van de inlogpagina van Gmail weergegeven. Op een gegeven moment doorloop je alle tabbladen die je hebt geopend en zie je de aanmeldingsprompt. In de veronderstelling dat Gmail u automatisch heeft afgemeld bij uw account, voert u uw gebruikersnaam en wachtwoord in, stuurt de kwaadaardige JavaScript-code de inloggegevens naar de oplichters en om de zaken nog geloofwaardiger te maken, wordt u omgeleid naar de echte Gmail. Omdat u nooit daadwerkelijk bent uitgelogd bij uw account, ziet u zeer waarschijnlijk de inhoud van uw inbox en vermoedt u niets.
Zoals je kunt zien, is het een slimme aanval, maar hoe waarschijnlijk is het dat je er het slachtoffer van wordt?
Tabnabbing worstelt om populariteit te winnen bij cybercriminelen
In 2010 besprak Brian Krebs de aanval in detail en legde uit hoeveel voordelen deze heeft ten opzichte van de meer traditionele tools of de handel van hackers. Informatiebeveiligingsspecialisten hadden toen al een paar proof-of-concept-pagina's bedacht, die lieten zien hoe tabnabbing in het wild zou kunnen werken. Sindsdien hebben we nog meer gepolijste ontwerpen gezien die een paar technische problemen hebben overwonnen. Ze werden echter allemaal gepubliceerd door beveiligingsonderzoekers en ze werden allemaal weergegeven met het idee om gebruikers te beschermen en op te leiden, zonder ze te schaden.
We hebben nog geen grootschalige tabnabbing-aanvallen tegen nietsvermoedende internetgebruikers gezien. Het lijkt erop dat de oplichters voorlopig de voorkeur geven aan meer traditionele schema's om de inloggegevens van mensen te stelen. Deze beslissing is niet eenvoudig te rechtvaardigen.
Tabnabbing houdt inderdaad in dat een website wordt gehackt en code erin wordt geïnjecteerd, waardoor het meer een technische uitdaging wordt. Tegelijkertijd ontbreekt in dit geval de social engineering die betrokken is bij de klassieke phishingcampagnes. Misschien zijn de meeste oplichters blij met de resultaten van de beproefde methoden en zijn ze van mening dat de extra innovatie de moeite niet waard is. Dat gezegd hebbende, je moet de dreiging niet onderschatten.
Wat kun je doen om jezelf te beschermen tegen tabnabbing?
Het is duidelijk dat een tabnabbing-aanval alleen kan werken tegen gebruikers die niet de gewoonte hebben om hun inactieve tabbladen te sluiten. Helaas is het voor veel mensen gemakkelijker om minder tabbladen te gebruiken dan gedaan. Desalniettemin kan een beter tabbladbeheer altijd helpen. Deskundigen adviseren over het gebruik van meerdere browservensters en het daarin rangschikken van verschillende taken. Hoewel het niet waterdicht is, kan het u misschien helpen iets verdachts te ontdekken.
Vanuit technisch perspectief kunt u proberen een extensie zoals No Script te gebruiken om te voorkomen dat potentieel schadelijke code stilzwijgende pagina's vernieuwt en valse aanmeldingsformulieren laadt. Als u echter alle JavaScript-code laat blokkeren, werken veel van uw favoriete websites niet goed en voor de meerderheid van de gebruikers is het te moeilijk om handmatig te selecteren welke scripts moeten worden gestopt.
Wat u echt kan redden, is uw eigen aandacht voor detail. Zoals we al vermeldden, is een tabnabbing-aanval afhankelijk van een nep-aanmeldingsformulier en het goede aan nep-aanmeldingsformulieren is dat ze niet kunnen worden gehost op het domein dat ze proberen na te bootsen. Als u de gewoonte heeft om de adresbalk van uw browser dubbel te controleren voordat u uw gebruikersnaam en wachtwoord invoert, heeft u een goede kans om uzelf te beschermen tegen zowel tabnabbing als tegen meer traditionele phishing.
