Tabjacking/Tabnabbing: Что это?
Скромная вкладка браузера - это то, что мы воспринимаем как должное в наши дни, и большинство из нас, вероятно, никогда не задумывались о том, какое влияние это оказало на наш веб-серфинг. Впервые эта концепция появилась в том, что сейчас является малоизвестным браузером под названием NetCaptor более 20 лет назад, и, хотя внедрение было медленным, когда Opera и Firefox представили его в начале 2000-х, Microsoft Internet Explorer понял, что у него нет другого выбора, кроме следить за пакетом, и вкладки стали нормой.
В настоящее время они дают нам возможность сосредоточиться на нескольких разных задачах одновременно. Благодаря вкладкам браузера мы можем быстро переключаться между веб-страницами и находить нужные нам ресурсы в считанные секунды. Вкладки очень полезны, но они также могут быть очень хорошим вектором атаки.
Table of Contents
Что такое таббабинг или табакерство?
Впервые эта концепция обсуждалась около десяти лет назад, когда исследователи в области безопасности поняли, что простой, но умный метод может позволить киберпреступникам осуществить потенциально фишинговую атаку, которая может быть чрезвычайно умной. Вот сценарий.
Допустим, что в течение рабочего дня у вас есть около десятка вкладок браузера, которые нужно постоянно открывать. Один из веб-сайтов, открытых во вкладке, ранее был взломан хакерами, которые внедрили фрагмент кода JavaScript. Пока вы сосредотачиваетесь на другой вкладке, вредоносный код автоматически изменяет содержимое вкладки, на которой он открыт, и вместо загруженного вами веб-сайта он отображает вредоносную копию страницы входа в Gmail. В какой-то момент вы просматриваете все открытые вкладки и замечаете запрос на вход. Думая, что Gmail автоматически вывел вас из вашей учетной записи, вы вводите свое имя пользователя и пароль, вредоносный код JavaScript отправляет учетные данные мошенникам, а чтобы сделать вещи еще более правдоподобными, он перенаправляет вас в настоящий Gmail. Поскольку вы никогда не выходили из своей учетной записи, вы, скорее всего, увидите содержимое папки «Входящие» и ничего не подозреваете.
Как видите, это умная атака, но какова вероятность того, что вы станете ее жертвой?
Tabnabbing пытается завоевать популярность у киберпреступников
В 2010 году Брайан Кребс подробно обсудил атаку и объяснил, сколько у нее преимуществ перед более традиционными инструментами или хакерской торговлей. Тогда специалисты по информационной безопасности уже придумали несколько проверочных страниц, которые показали, как таббабинг может работать в дикой природе. С тех пор мы увидели еще более отточенные конструкции, которые преодолели несколько технических трудностей. Однако все они были опубликованы исследователями безопасности, и все они демонстрировались с идеей защиты и обучения пользователей, а не нанесения им вреда.
Мы еще не видели каких-либо масштабных атак против ничего не подозревающих пользователей интернета. Похоже, на данный момент, по крайней мере, мошенники предпочитают использовать более традиционные схемы для кражи учетных данных людей. Это не легко оправдать это решение.
В самом деле, вкладки подразумевают компрометацию сайта и внедрение кода, что делает его более сложной технической задачей. В то же время, однако, социальная инженерия, вовлеченная в классические фишинговые кампании, в этом случае отсутствует. Возможно, большинство мошенников довольны результатами опробованных и проверенных методов и считают, что дополнительные инновации не стоят усилий. При этом, вы не должны недооценивать угрозу.
Что вы можете сделать, чтобы защитить себя от вкладок?
Очевидно, что атака со вкладками может работать только против пользователей, которые не имеют привычки закрывать свои неактивные вкладки. К сожалению, для многих людей использование меньшего количества вкладок легче сказать, чем сделать. Тем не менее, лучшее управление вкладками всегда может помочь. Эксперты советуют использовать несколько окон браузера и размещать в них различные наборы задач. Хотя это и не надежно, но может помочь вам обнаружить что-то подозрительное.
С технической точки зрения вы можете попробовать использовать расширение, такое как No Script, чтобы заблокировать любой потенциально вредоносный код от тихого обновления страниц и загрузки поддельных форм входа в систему. Однако если вы разрешите ему блокировать весь код JavaScript, многие из ваших любимых веб-сайтов не будут работать должным образом, и для большинства пользователей ручной выбор сценариев, которые необходимо остановить, будет слишком сложным.
То, что действительно может спасти вас, это ваше собственное внимание к деталям. Как мы уже упоминали, атака со вкладками основана на фальшивой форме входа в систему, и хорошая вещь в фальшивых формах входа в систему заключается в том, что они не могут быть размещены в домене, который они пытаются выдать. Если вы установили привычку дважды проверять адресную строку браузера, прежде чем вводить имя пользователя и пароль, у вас есть хороший шанс защитить себя как от вкладок, так и от более традиционного фишинга.
