Cesko.wiki Tabnabbing
Author
Albert FloresTabnabbing je v informatice název pro exploit a phishingový útok, který je založen na vylákání přihlašovacích údajů a hesel od uživatelů k jejich oblíbeným webovým službám prostřednictvím imitace webových stránek příslušných služeb a přesvědčení uživatelů o jejich autenticitě.
Charakteristika
Název útoku byl vytvořen na počátku roku 2010 Azou Raskinem, bezpečnostním výzkumníkem a designovým expertem. Útok zneužívá uživatelské důvěry a nepozornosti k detailu, co se týče karet prohlížeče, a schopnosti moderních webových stránek přepsat svůj obsah dlouho poté, co byla stránka načtena. +more Tabnabbing funguje opačným způsobem oproti většině phishingovým útokům v tom, že nenabízí uživateli možnost kliknutí na podvodný odkaz, ale místo toho načte podvodnou stránku do jedné z karet v prohlížeči.
Popis činnosti
Exploit využívá skript k přepsání webové stránky imitací známé webové služby poté, co byla daná stránka ponechána nějakou dobu bez povšimnutí. Uživatel, který ke stránce po chvíli vrátí, nalézá přepsanou webovou stránku, může být přesvědčen o její autenticitě a zadá své uživatelské údaje, heslo a další osobní údaje, které mohou být posléze zneužity. +more Útok pak má větší šanci na úspěch, pokud skript kontroluje sítě, které uživatel procházel v minulosti, nebo jejichž stránky má otevřené v jiných záložkách. Útok může být též proveden i se zakázaným JavaScriptem prostřednictvím použití tagu meta refresh používanému k přesměrování, který způsobí opětovné načtení specifikované nové stránky po zadaném časovém intervalu.
Obrana
Například rozšíření NoScript pro prohlížeč Mozilla Firefox je schopen zabránit útokům založeným jak na JavaScriptu, tak bezskriptovým útokům založeným právě na tagu meta refresh prostřednictvím znemožnění neaktivním kartám změnit adresu načtené stránky.