El tabnabbing, otra técnica de ataque web

Leo en Genbeta (gracias a @bambino) una nueva técnica de ataque web.

En lugar de falsear las direcciones, ahora lo que falsean son pestañas abiertas en el navegador.

Ellos lo explican así:

Este ataque puede ser realmente efectivo. No somos pocos los que acostumbramos a trabajar con varias pestañas, y lo que nos guía es su icono y su título. Tal y como pone como ejemplo Aza Raskin, el desarrollador de Mozilla que lo ha publicado, si hacemos clic en la pestaña con el icono de Gmail y vemos que nos pide hacer login otra vez porque no ha habido actividad, lo haríamos prácticamente sin dudar. Sin embargo, lo que podríamos estar haciendo es proporcionar nuestra información a terceras partes.

El alcance de un ataque de este tipo en una página muy visitada podría ser desastroso, combinando con otras vulnerabilidades y conociendo si el usuario ya ha hecho login o no. Simplemente como ejemplo: accedes a un artículo en Genbeta, a la que previamente han descubierto una vulnerabilidad XSS, mediante un enlace acortado para ocultar la URL. Cuando llegas, lees el artículo, y dejas la pestaña abierta. Con la vulnerabilidad XSS, se ejecuta el código malicioso y la página cambia a la pantalla de login de GMail. Entras en esa pestaña creyendo que es el Gmail real, introduces tus datos, y automáticamente ya han sido mandados a un tercero. Essorprendentemente fácil caer, ¿verdad?

Cada día que pasa las técnicas son mas depuradas, afortunadamente darlas a conocer ayudará a evitar caer en ellas.

Aqui un video que lo explica:

A New Type of Phishing Attack from Aza Raskin on Vimeo.

CURSOS EN VENTA

Plan de Marketing 2.0 Crea desde cero tu plan de marketing online para ser más competitivo.

Precio 55 Euros

Publicidad en Facebook Aprende las técnicas para que los anuncios sean más efectivos.

Precio 21 Euros

Crea tu blog profesional con WordPress Conoce a fondo la plataforma web más usada.

Precio 35 Euros

Submit a Comment

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *


7 + cuatro =

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>