Ogni tanto salta fuori una qualche metodologia di attacco che ti fa essere indeciso tra il pensare “‘sti bastardi” e “geniale!”.
Il Tabnabbing, che sta salendo all’attenzione in questi giorni, è tra questi.
Se siete tra coloro che usano abitualmente multipli tab (o multiple finestre, presumo) del browser per lavorare su più siti contemporaneamente, ponete attenzione, perchè siete esattamente il target per l’attacco.
Il meccanismo è facile: arrivate in qualche modo su un sito sotto il controllo dell’attaccante, apparentemente innocuo nei contenuti. Poi passate ad un altro tab per farvi i fatti vostri. Nel frattempo, fuori della vostra soglia di attenzione, il sito in questione cambia completamente di contenuto, favicon, titolo e aspetto, diventando -ad esempio- la pagina di login della vostra banca, o della webmail del vostro provider, magari decidendo cosa diventare in funzione di ciò che è presente nella history del vostro browser.
Quando tornerete sul tab in questione, direte “ah, l’avevo già aperto”, a meno di non accorgervi che la url riportata non è quella che dovrebbe essere. Quindi farete il vostro bel login, dando in mano le vostre credenziali direttamente all’attaccante, come nella migliore tradizione.
Una dimostrazione su http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/: visitate la pagina, poi passate ad altro tab e attendete 5 secondi, mantenendo un occhio al tab dove avete aperto il sito. Bum!
Skull's blog 