Aanval op het tabben - Een nieuwe Phishing-tactiek
De meesten van jullie zijn op de hoogte van phishing, waar een frauduleus proces wordt gestart met de bedoeling om gevoelige informatie zoals wachtwoorden en creditcardgegevens te verzamelen door zichzelf als een legitieme entiteit voor te stellen. Maar wat als u zich op een legitieme pagina bevindt en de pagina die u hebt bekeken, wijzigingen in een frauduleuze pagina, eens u een ander tabblad bezoekt? Dit heet Tabnabbing!
Hoe Tabnabbing werkt
- U navigeert naar een echte website.
- U opent een ander tabblad en bladert door de andere site.
- Na een tijdje kom je terug bij het eerste tabblad.
- U wordt begroet met nieuwe inloggegevens, misschien naar uw Gmail-account.
- Je logt opnieuw in en vermoedt niet dat de pagina, inclusief het favicon, daadwerkelijk achter je rug is veranderd!
Dit kan allemaal worden gedaan met slechts een klein beetje JavaScript dat onmiddellijk plaatsvindt. Terwijl de gebruiker zijn vele open tabbladen scant, fungeert het favicon en de titel als een sterk visueel cue-geheugen, dat kneedbaar en vormbaar is en de gebruiker waarschijnlijk denkt dat ze een Gmail-tabblad open hebben gelaten. Wanneer ze teruggaan naar het valse Gmail-tabblad, zien ze de standaard aanmeldingspagina van Gmail, gaan ze ervan uit dat ze zijn uitgelogd en geven ze hun inloggegevens op om in te loggen.
De aanval proeft op de waargenomen onveranderlijkheid van tabbladen. Nadat de gebruiker zijn aanmeldingsgegevens heeft ingevoerd en u deze opnieuw naar uw server hebt gestuurd, leidt u deze om naar Gmail. Omdat ze nooit zijn afgemeld, zal het lijken alsof de login succesvol was.Je bezoekt een webpagina, je schakelt naar een ander tabblad en achter je rug is je eerste pagina veranderd!
Omgekeerde tabben
Reverse Tabnabbing vindt plaats door de aanvaller window.opener.location.assign () om het achtergrondtabblad te vervangen door een kwaadaardig document. Natuurlijk verandert deze actie ook de adresbalk van het achtergrondtabblad, maar de aanvaller hoopt dat het slachtoffer minder oplettend zal zijn en blindelings zijn wachtwoord of andere gevoelige informatie zal invoeren wanneer hij terugkeert naar de achtergrondtaak, zegt Google..
Een uitweg zou zijn als alle site-eigenaren de volgende tag zouden gebruiken:
target = "_ blank" rel = "noopener noreferrer"
Om te voorkomen dat dit beveiligingslek wordt misbruikt, is WordPress nu gestart met het automatisch toevoegen van noopener noreferrer-tags.
Kijk nu eens naar Spear Phishing, Whaling en Vishing en Smishing.