Ataques de Tabnabbing - Una nueva táctica de Phishing
La mayoría de ustedes son conscientes de Suplantación de identidad, donde se inicia un proceso fraudulento con la intención de adquirir información confidencial como contraseñas y detalles de tarjetas de crédito, presentándose como una entidad legítima. Pero, ¿qué sucede si se encuentra en una página legítima y la página que ha estado buscando, cambia a una página fraudulenta, una vez que visita otra pestaña? Se llama Tabnabbing!
Cómo funciona Tabnabbing
- Navegas a un sitio web genuino.
- Abre otra pestaña y navega por el otro sitio..
- Después de un rato vuelves a la primera pestaña..
- Recibirá nuevos detalles de inicio de sesión, tal vez a su cuenta de Gmail..
- Vuelve a iniciar sesión sin sospechar que la página, incluido el favicon, haya cambiado a sus espaldas!
Todo esto se puede hacer con solo un poco de JavaScript que tiene lugar al instante. A medida que el usuario escanea sus muchas pestañas abiertas, el icono de favicon y el título actúan como una fuerte memoria visual, es maleable y moldeable y el usuario probablemente pensará que simplemente dejó una pestaña de Gmail abierta. Cuando vuelvan a hacer clic en la pestaña falsa de Gmail, verán la página de inicio de sesión estándar de Gmail, asumirán que han cerrado la sesión y proporcionarán sus credenciales para iniciar sesión..
El ataque se aprovecha de la inmutabilidad percibida de las pestañas. Una vez que el usuario haya ingresado su información de inicio de sesión y la haya enviado de vuelta a su servidor, los redireccionará a Gmail. Debido a que nunca se desconectaron, aparecerá como si el inicio de sesión fuera exitoso.Visitas una página web, cambias a otra pestaña y, detrás de tu espalda, tu primera página habrá cambiado.!
Invertir Tabnabbing
Se produce Tabnabbing inverso que utiliza el atacante window.opener.location.assign () para reemplazar la pestaña de fondo con un documento malicioso. Por supuesto, esta acción también cambia la barra de direcciones de la pestaña de fondo, pero el atacante espera que la víctima esté menos atenta e ingrese a ciegas su contraseña u otra información confidencial cuando regrese a la tarea de fondo, dice Google.
Una salida sería si todos los propietarios del sitio usaran la siguiente etiqueta:
target = "_ blank" rel = "noopener noreferrer"
Para evitar que esta vulnerabilidad sea explotada, WordPress ha comenzado a agregar etiquetas noopener noreferrer automáticamente ahora.
Ahora eche un vistazo a las estafas de spear phishing, caza de ballenas, vishing y smishing.