Tabjacking/Tabnabbing：這是什麼？

如今，不起眼的瀏覽器選項卡已成為我們理所當然的事情，我們大多數人可能從未想過它對我們上網的方式有何影響。這個概念最早出現在20多年前的如今鮮為人知的NetCaptor瀏覽器中，儘管最初的採用速度很慢，但是Opera和Firefox在2000年代初引入它之後，Microsoft的Internet Explorer意識到除了它之外別無選擇緊隨其後，標籤成為常態。

如今，它們使我們可以靈活地同時專注於多個不同的任務。借助瀏覽器選項卡，我們可以在網頁之間快速切換，並且可以在幾秒鐘內找到所需的資源。製表符非常有用，但它們也可以成為很好的攻擊手段。

Table of Contents

什麼是Tabnabbing或Tabjacking？

十年前，安全研究人員首次認識到這一概念，當時他們認識到一種簡單但巧妙的技術可以使網絡犯罪分子實施潛在的極其聰明的網絡釣魚攻擊。這是場景。

假設在您的工作日中，您需要一直打開大約十二個瀏覽器選項卡。在標籤頁中打開的一個網站以前曾被注入了JavaScript代碼的黑客入侵。當您專注於另一個標籤時，惡意代碼會悄悄更改打開該標籤的內容，並且它會顯示Gmail登錄頁面的惡意抄本，而不是您自己加載的網站。某一時刻，您正在瀏覽所有打開的選項卡，並且會注意到登錄提示。考慮到Gmail已自動將您從帳戶中註銷，您輸入了用戶名和密碼，惡意的JavaScript代碼將憑據發送給了騙子，為了使事情更加可信，它將您重定向到真實的Gmail。由於您從未真正註銷過帳戶，因此很可能會看到收件箱中的內容，並且毫無懷疑。

如您所見，這是一個聰明的攻擊，但是您成為該攻擊的受害者的可能性有多大？

Tabnabbing正在努力獲得網絡犯罪分子的歡迎

2010年，布萊恩·克雷布斯（Brian Krebs）詳細討論了該攻擊，並說明了與傳統工具或黑客交易相比，它具有多少優勢。那時，信息安全專家已經拿出了一些概念驗證頁面，這些頁面顯示了踩tab在野外的工作方式。從那時起，我們看到了更精美的設計，克服了一些技術難題。它們都是由安全研究人員出版的，但是它們都以保護和教育用戶而不傷害他們的想法進行展示。

我們尚未見到針對毫無戒心的互聯網用戶的大規模tab彈攻擊。至少暫時而言，騙子似乎更喜歡使用更傳統的方案來竊取人們的證件。證明這一決定並不容易。

的確，tab竊涉及破壞網站並向其中註入代碼，這使其更具技術挑戰性。但是，與此同時，在這種情況下，也沒有參與經典網絡釣魚活動的社會工程。也許大多數騙子對經過實踐檢驗的方法的結果感到滿意，並認為額外的創新是不值得的。話雖如此，您一定不能低估威脅。