Tabnabbing attacker - En ny Phishing taktik
De flesta av er är medvetna om phishing, där en bedräglig process initieras med avsikt att förvärva känslig information som lösenord och kreditkortsuppgifter, genom att presentera sig som en legitim enhet. Men vad händer om du är på en legitim sida och den sida du har letat, ändras till en bedräglig sida, när du besöker en annan flik? Det här kallas Tabnabbing!
Hur Tabnabbing fungerar
- Du navigerar till en äkta webbplats.
- Du öppnar en annan flik och bläddrar på den andra sajten.
- Efter ett tag kommer du tillbaka till den första fliken.
- Du hälsas med nya inloggningsuppgifter, kanske till ditt Gmail-konto.
- Du loggar in igen, inte misstänker att sidan, inklusive favicon, faktiskt har ändrats bakom din rygg!
Detta kan alla göras med bara en liten bit av JavaScript som äger rum omedelbart. Eftersom användaren skannar sina många öppna flikar fungerar favicon och titel som ett starkt visuellt cue-minne, formbar och formbar och användaren kommer sannolikt helt enkelt att tro att de lämnat en Gmail-flik öppen. När de klickar tillbaka till fake Gmail-fliken ser de standard Gmail-inloggningssidan, antar att de har loggats ut och tillhandahåller sina uppgifter för att logga in.
Anfallet pryder sig på den upplevda oförmågan hos flikar. När användaren har angett sin inloggningsinformation och du har skickat den tillbaka till din server, omdirigerar du dem till Gmail. Eftersom de aldrig loggades ut i första hand visas det som om inloggningen lyckades.Du besöker en webbsida, du växlar till en annan flik och bakom din rygg kommer din första sida att ändras!
Reverse Tabnabbing
Omvänd Tabnabbing inträffar angriparens användning window.opener.location.assign () att ersätta bakgrundsfliken med ett skadligt dokument. Självklart ändrar denna åtgärd också adressfältet på bakgrundsfliken, men angriparen hoppas att offret blir mindre uppmärksamt och kommer blint in sina lösenord eller annan känslig information när han återgår till bakgrundsuppgiften, säger Google.
En utväg skulle vara om alla webbplatsägare skulle använda följande tagg:
target = "_ blank" rel = "noopener noreferrer"
För att förhindra att denna sårbarhet utnyttjas har WordPress startat att lägga till noopener noreferrer-taggar automatiskt nu.
Ta en titt på Spear Phishing, Whaling och Vishing och Smishing scams.