Leo en Genbeta (gracias a @bambino) una nueva técnica de ataque web.
En lugar de falsear las direcciones, ahora lo que falsean son pestañas abiertas en el navegador.
Ellos lo explican así:
Este ataque puede ser realmente efectivo. No somos pocos los que acostumbramos a trabajar con varias pestañas, y lo que nos guía es su icono y su título. Tal y como pone como ejemplo Aza Raskin, el desarrollador de Mozilla que lo ha publicado, si hacemos clic en la pestaña con el icono de Gmail y vemos que nos pide hacer login otra vez porque no ha habido actividad, lo haríamos prácticamente sin dudar. Sin embargo, lo que podríamos estar haciendo es proporcionar nuestra información a terceras partes.
El alcance de un ataque de este tipo en una página muy visitada podría ser desastroso, combinando con otras vulnerabilidades y conociendo si el usuario ya ha hecho login o no. Simplemente como ejemplo: accedes a un artículo en Genbeta, a la que previamente han descubierto una vulnerabilidad XSS, mediante un enlace acortado para ocultar la URL. Cuando llegas, lees el artículo, y dejas la pestaña abierta. Con la vulnerabilidad XSS, se ejecuta el código malicioso y la página cambia a la pantalla de login de GMail. Entras en esa pestaña creyendo que es el Gmail real, introduces tus datos, y automáticamente ya han sido mandados a un tercero. Essorprendentemente fácil caer, ¿verdad?
Cada día que pasa las técnicas son mas depuradas, afortunadamente darlas a conocer ayudará a evitar caer en ellas.
Aqui un video que lo explica:
A New Type of Phishing Attack from Aza Raskin on Vimeo.