Tabnabbing
Il tabnabbing è una tecnica di attacco informatico di tipo phishing con un minimo di arguzia in più.[1]
Viene presentato infatti alla vittima un link ad una pagina internet del tutto innocua e con del contenuto interessante. L'utente medio ha ormai l'abitudine di navigare su più tab (schede) all'interno del suo browser e la pagina in questione sfrutta questa abitudine per cambiare d'aspetto nel momento in cui l'utente la lascia aperta per visitare una nuova tab. Il nuovo aspetto rispecchierà in tutto e per tutto quello di una pagina di accesso a dei servizi online in cui vengono chieste username e password (per esempio il sito di posteitaliane, quello di un homebanking oppure la pagina di login di gmail come riportato dal link esterno). La vittima, tornando sulla scheda del sito attaccante, non si ricorderà più che quella deriva da un link non sicuro che ha cliccato, potrà invece pensare che aveva aperto tale pagina senza aver ancora effettuato l'accesso. Ovviamente l'inserimento dei dati in questa pagina verranno inoltrati all'account dell'attaccante e l'utente verrà reinderizzato sul sito reale in modo che non si accorga di essere stato derubato delle credenzialità.
Contromisure[modifica | modifica wikitesto]
L'estensione NoScript per Mozilla Firefox blocca sia gli attacchi basati su JavaScript sia quelli perpetrati senza l'uso di script, sfruttando il meta refresh, impedendo ai tab inattivi di modificare l'indirizzo della pagina Web.
Note[modifica | modifica wikitesto]
- ^ Navigate con tante schede aperte? Attenti all'attacco "Tabnabbing", in La Repubblica, 17 aprile 2012. URL consultato il 17 aprile 2012.
Bibliografia[modifica | modifica wikitesto]
- Minaccia Web 2.0: il tabnabbing, in Enciclopedia dell'hacker, Sprea International, 2011, pp. 88-92.
Voci correlate[modifica | modifica wikitesto]
Collegamenti esterni[modifica | modifica wikitesto]
- Devious New Phishing Tactic Targets Tabs, su krebsonsecurity.com, Krebson security, 2010-05.
- Tabnabbing: A New Type of Phishing Attack Tabs, su azarask.in. URL consultato il 28 maggio 2010 (archiviato dall'url originale il 17 febbraio 2012). Attenzione: questo collegamento è infettato dalla minaccia a scopo dimostrativo. Sebbene l'antivirus lo segnali, la pagina è innocua.
- Phishing? Roba vecchia! Adesso esiste il Tabnabbing, su luca-mercatanti.com. Video dimostrativo della tecnica del Tabnabbing.