Tabjacking/Tabnabbing: co to jest?
Skromna karta przeglądarki jest obecnie czymś, co uważamy za coś oczywistego, i większość z nas prawdopodobnie nigdy nie zastanawiała się, jaki wpływ miała na sposób, w jaki surfujemy po Internecie. Koncepcja pojawiła się po raz pierwszy w mało znanej przeglądarce o nazwie NetCaptor ponad 20 lat temu i chociaż jej wdrożenie było początkowo powolne, gdy Opera i Firefox wprowadziły ją na początku 2000 roku, Internet Explorer Microsoftu zdał sobie sprawę, że nie ma innej opcji, jak tylko śledzić paczkę, a zakładki stały się normą.
W dzisiejszych czasach dają nam elastyczność koncentrowania się na wielu różnych zadaniach jednocześnie. Dzięki kartom przeglądarki możemy szybko przełączać się między stronami internetowymi i możemy znaleźć potrzebne zasoby w ciągu kilku sekund. Karty są bardzo przydatne, ale mogą być również bardzo dobrym wektorem ataku.
Table of Contents
Co to jest tabnabbing lub tabjacking?
Koncepcję tę omówiono po raz pierwszy dziesięć lat temu, kiedy badacze bezpieczeństwa zdali sobie sprawę, że prosta, ale sprytna technika może pozwolić cyberprzestępcom na przeprowadzenie potencjalnie wyjątkowo sprytnego ataku phishingowego. Oto scenariusz.
Powiedzmy, że w ciągu dnia masz około tuzina kart przeglądarki, które trzeba cały czas otwierać. Jedna z witryn otwartych w zakładce została wcześniej przejęta przez hakerów, którzy wstrzyknęli fragment kodu JavaScript. Podczas gdy skupiasz się na innej karcie, złośliwy kod po cichu zmienia zawartość karty, w której jest otwarty, i zamiast witryny, którą sam załadowałeś, wyświetla złośliwą kopię strony logowania Gmaila. W pewnym momencie przeglądasz wszystkie otwarte karty i widzisz monit o zalogowanie. Myśląc, że Gmail automatycznie wylogował cię z konta, podajesz nazwę użytkownika i hasło, złośliwy kod JavaScript wysyła dane uwierzytelniające do oszustów, a aby uczynić je bardziej wiarygodnymi, przekierowuje Cię do prawdziwego Gmaila. Ponieważ nigdy nie byłeś wylogowany ze swojego konta, bardzo prawdopodobne jest, że zobaczysz zawartość skrzynki odbiorczej i niczego nie podejrzewasz.
Jak widać, jest to sprytny atak, ale jak prawdopodobne jest, że padniesz jego ofiarą?
Tabnabbing stara się zdobyć popularność wśród cyberprzestępców
W 2010 roku Brian Krebs szczegółowo omówił atak i wyjaśnił, ile ma przewagi nad bardziej tradycyjnymi narzędziami lub handlem hakerami. W tym czasie specjaliści ds. Bezpieczeństwa informacji opracowali już kilka stron sprawdzających koncepcję, które pokazały, jak tabnabbing może działać na wolności. Od tego czasu widzieliśmy jeszcze bardziej dopracowane projekty, które przezwyciężyły kilka trudności technicznych. Wszystkie zostały opublikowane przez badaczy bezpieczeństwa i wszyscy zostali przedstawieni z myślą o ochronie i edukacji użytkowników, nie wyrządzając im krzywdy.
Nie widzieliśmy jeszcze żadnych ataków tabnabbing na dużą skalę przeciwko niczego niepodejrzewającym internautom. Wygląda na to, że na razie oszuści wolą używać bardziej tradycyjnych schematów do kradzieży poświadczeń ludzi. Niełatwo jest uzasadnić tę decyzję.
Rzeczywiście, tabnabbing polega na naruszeniu strony internetowej i wstrzyknięciu do niej kodu, co czyni ją bardziej technicznym wyzwaniem. Jednocześnie jednak w tym przypadku nie ma socjotechniki zaangażowanej w klasyczne kampanie phishingowe. Być może większość oszustów jest zadowolona z wyników wypróbowanych i przetestowanych metod i uważa, że dodatkowa innowacja nie jest warta wysiłku. To powiedziawszy, nie możesz lekceważyć zagrożenia.
Co możesz zrobić, aby uchronić się przed tabnabbingiem?
Oczywiście atak Tabnabbing może działać tylko na użytkowników, którzy nie mają zwyczaju zamykania nieaktywnych kart. Niestety dla wielu osób korzystanie z mniejszej liczby kart jest łatwiejsze niż powiedzenie. Niemniej jednak lepsze zarządzanie kartami zawsze może pomóc. Eksperci doradzają, jak używać wielu okien przeglądarki i organizować w nich różne zestawy zadań. Choć nie jest niezawodny, może pomóc w wykryciu czegoś podejrzanego.
Z technicznego punktu widzenia możesz spróbować użyć rozszerzenia takiego jak No Script, aby zablokować potencjalnie złośliwy kod przed cichym odświeżaniem stron i ładowaniem fałszywych formularzy logowania. Jeśli jednak zablokujesz cały kod JavaScript, wiele twoich ulubionych stron nie będzie działać poprawnie, a dla większości użytkowników ręczne wybieranie skryptów, które mają zostać zatrzymane, jest zbyt trudne.
To, co może naprawdę cię uratować, to twoja dbałość o szczegóły. Jak już wspomniano, atak tabnabbing polega na fałszywym formularzu logowania, a dobrą cechą fałszywych formularzy logowania jest to, że nie można ich hostować w domenie, którą próbują podszyć się. Jeśli nauczysz się sprawdzać dwukrotnie pasek adresu przeglądarki przed wprowadzeniem nazwy użytkownika i hasła, masz dużą szansę na ochronę przed tabnabbingiem i przed bardziej tradycyjnym phishingiem.
