Внимание! «похищение вкладок» — новый вид фишинга

Аза Раскин (Aza Raskin), руководитель творческого направления в разработке браузера Firefox, сообщил об открытии нового способа фишинг-атаки через неиспользуемые в текущий момент вкладки браузера. Новая атака получила название «Табнеппинг» (Tabnapping - «похищение вкладок», по аналогии с киднеппингом).

Традиционных фишинг-атак обычно довольно легко избежать, если не щелкать по ссылкам в подозрительных письмах. Новый же вид атаки работает гораздо хитрее. Атака начинается с определения вкладок, которые в настоящий момент не используются. Далее скрипт атаки меняет значок и текст в заголовке такой вкладки, а потом загружает в эту вкладку фальшивый веб-сайт, например, поддельный сайт веб-почты. В такой атаке злоумышленники могут точно имитировать настоящий сайт и заставить пользователя указать свои регистрационные данные.

Суть фишинг-атаки весьма проста, но в тоже время эффективна:

1. Пользователь заходит на обычный с виду сайт, что то на нем просматривает, ищет, потом отвлекается и перескакивает на другую вкладку.

2. javascript отслеживает активность пользователя на страничке, как только ее нет, идет подмена favicon и содержимого страницы на вход например в почту Google.

3. Пользователь возвращается, кликая по закладкам, видит вход в свою почту, и попадает на наживку.

Например, злоумышленник может определить, что пользователь часто использует веб-интерфейс для управления своим счетом в некоем банке. Загрузив в неиспользуемую вкладку фальшивую копию страницы входа, можно обмануть пользователя с помощью сообщений о неожиданном разрыве соединения. Вполне вероятно, что пользователь решит восстановить соединение, вновь указав свои имя и пароль, только на этот раз секретные данные для доступа к счету могут попасть в руки злоумышленников.

Поскольку многие современные пользователи постоянно держат открытыми множество вкладок, новый вид атаки сравнительно трудно заметить. Единственный отличительный признак такой атаки – необычный адрес URL в адресной строке браузера. Если на странице за привычным оформлением заголовка вы видите непривычный адрес, значит, перед вами вполне может быть случай «табнеппинга».

Демонстрацию нового типа атаки с подменой содержимого вкладок Раскин привел в своем блоге. Когда вы откроете такую ссылку, затем переключитесь на другую вкладку, а затем снова вернетесь, страница будет выглядеть точь-в-точь как страница входа в одну из популярных служб веб-почты. В примере Раскина используется простой графический файл с изображением интерфейса, однако в реальных атаках на этом месте может быть полноценная веб-страница.

Тестовый пример атаки с помощью «табнеппинга» успешно работает в браузерах Firefox 3.6, 3.7a, Opera 10 и Safari 4. В браузере Chrome на платформе OS X атака срабатывает только при переключении из Chrome в другие приложения – обычного переключения вкладок недостаточно. Стоит отметить, что некоторые браузеры не отображают значки сайтов в заголовках вкладок, так что возможности примера Раскина даже избыточны.

Кроме постоянного контроля URL-адресов, еще одним способом предотвращения атаки может быть явный запрет на выполнение любых удаленных скриптов на всех открываемых страницах. Даже если лично вы доверяете сайту, нельзя исключить взлом многократно проверенного вами сайта. Итак, пользователям остается еще раз усилить бдительность и уделять повышенное внимание адресам URL.