Aza Raskin ha segnalato un nuovo modo di far phishing per rubare account agli utenti web. Il metodo si basa su una sostituzione silente della pagina che si sta navigando con la pagina fake di autenticazione ad un determinato servizio.

Ma come funziona nello specifico questo tipo di attacco? Facciamo un esempio: supponiamo di volere attaccare un utente per sottrargli l’account di Gmail:

1. Un utente naviga normalmente su un sito
2. Il sito è predispoto a controllare quando la pagina perde il fuoco e rimane inattiva per un po’ di tempo
3. Proprio in quella precisa situazione si rimpiazza la favicon con quella di Gmail, si cambia il titolo con “Gmail: Email da Google” e l’intera pagina viene sostituita con la pagina fake di autenticazione di Gmail. Tutto questo può essere fatto con un po’ di javascript che modifica i vari oggetti della pagina al volo.
4. Quando l’utente scorre la lista dei tab aperti, la nuova favicon e il titolo della pagina possono far cadere nel tranello l’utente che potrebbe pensare di aver lasciato la finestra di Gmail aperta. Cliccando allora su quel tab, vedendo la schermata di Gmail a lui familiare potrebbe non preoccuparsi di controllare l’indirizzo. Pensando allora di essere stato sloggato per qualche motivo da Gmail potrebbe riautenticarsi nuovamente. L’attacco sfrutta l’idea che gli utenti credono nell‘immutabilità dei tab.
5. Dopo che l’utente ha inserito i dati di autenticazione, questi possono essere inviati sui vostri server o via email. L’utente può essere poi rediretto a Gmail e poichè non è mai uscito, gli apparirà la lista delle sue email e sembrerà che il login sia avvenuto con successo.

Questo tipo di attacco viene denominato “tabnabbing“.

Per vedere un esempio funzionate andate sulla pagina di Aza Raskin, poi aprite un nuovo tab e aspettate qualche secondo. Il primo tab cambierà aspetto per diventare il fake di Gmail. L’autore ha messo anche a disposizione il javascript da provare.