Tabjacking / Tabnabbing：这是什么？

如今，不起眼的浏览器选项卡已成为我们理所当然的事情，我们大多数人可能从未想过它对我们上网的方式有何影响。这个概念最初出现在20多年前的如今鲜为人知的NetCaptor浏览器中，尽管最初的采用速度很慢，但是Opera和Firefox在2000年代初引入它之后，Microsoft的Internet Explorer意识到除了它之外别无选择紧随其后，标签成为常态。

如今，它们使我们可以灵活地同时专注于多个不同的任务。借助浏览器选项卡，我们可以在网页之间快速切换，并且可以在几秒钟内找到所需的资源。制表符非常有用，但它们也可以成为很好的攻击手段。

Table of Contents

什么是Tabbabbabbing或Tabjacking？

十年前，安全研究人员首次认识到这一概念，当时他们认识到一种简单但巧妙的技术可以使网络犯罪分子实施潜在的极其聪明的网络钓鱼攻击。这是场景。

假设在您的工作日中，您需要一直打开大约十二个浏览器选项卡。在标签页中打开的一个网站以前曾被注入了JavaScript代码的黑客入侵。当您专注于另一个标签时，恶意代码会悄悄更改打开该标签的内容，并且它会显示Gmail登录页面的恶意抄本，而不是您自己加载的网站。某一时刻，您正在浏览所有打开的选项卡，并且会注意到登录提示。考虑到Gmail已自动将您从帐户中注销，您输入了用户名和密码，恶意的JavaScript代码将凭据发送给了骗子，为了使事情更加可信，它会将您重定向到真实的Gmail。由于您从未真正注销过帐户，因此很可能会看到收件箱中的内容，并且毫无怀疑。

如您所见，这是一个聪明的攻击，但是您成为该攻击的受害者的可能性有多大？

Tabnabbing正在努力获得网络犯罪分子的欢迎

2010年，布莱恩·克雷布斯（ Brian Krebs）详细讨论了该攻击，并说明了与传统工具或黑客交易相比，它具有多少优势。那时，信息安全专家已经拿出了一些概念验证页面，这些页面显示了踩tab在野外的工作方式。从那时起，我们看到了更精美的设计，克服了一些技术难题。它们都是由安全研究人员出版的，但是它们都以保护和教育用户而不伤害他们的想法进行展示。

我们尚未见到针对毫无戒心的互联网用户的大规模tab弹攻击。至少暂时而言，骗子似乎更喜欢使用更传统的方案来窃取人们的证件。证明这一决定并不容易。

的确，tab窃涉及破坏网站并向其中注入代码，这使其更具技术挑战性。但是，与此同时，在这种情况下，也没有参与经典网络钓鱼活动的社会工程。也许大多数骗子对经过实践检验的方法的结果感到满意，并认为额外的创新是不值得的。话虽如此，您一定不能低估威胁。