Tabnabbing: екстравагантний фішинг

    
Останні три дні примітні тим, що в мережу потрапили три великих бази акаунтів користувачів пошти Яндекса , Mail.ru і Gmail .
 
Багато користувачів Хабра, так само як і інших тематичних ресурсів з питань безпеки, сходяться на думці, що акаунти, найімовірніше, потрапили в бази або в результаті зараження комп'ютерів користувачів «троянами», або ж в результаті фішингових атак.
 
На хвилі цих гарячих обговорень хотів би розповісти про один з красивих способів викрадення даних користувача, досить старому, але досі актуальному, про який на Хабре якось не писали.
 
У 2010 році Аза Раскін , син Джефа Раскіна , поділився у своєму блозі дуже цікавим, як мені здається, методом фішингу, який він назвав Tabnabbing.
 
 
Його суть в наступному:
1. Атакуючий залучає користувача на сторінку свого сайту, яка виглядає абсолютно нормальною і такою, якою користувач очікує її побачити.
2. Атакуючий визначає, що користувач тривалий час не взаємодіяв з сторінкою, або взагалі переключився на іншу вкладку.
3. Поки сторінка неактивна — підміняється її favicon на іконку сайту, під який вона буде маскуватися.
4. Контент сторінки міняється на контент фейкові форми логіна сайта, під який вона маскується.
5. З певною досить великою часткою ймовірності користувач, повернувшись до вкладці — не замислюючись, автоматично введе свої логін і пароль.
6. Після перехоплення даних авторизації — користувача можна просто переадресувати на атакується сайт, адже найімовірніше він на ньому вже авторизований і саме цієї поведінки він і чекатиме.
 
 
Реалізація
Прототип коду, який відстежує поведінку користувача може виглядати якось так:
 
 
window.onblur = function(){
  TIMER = setTimeout(time_to_change, 5000);
}  

window.onfocus = function(){
  if(TIMER) clearTimeout(TIMER);
}

function time_to_change() {
  if( HAS_SWITCHED == false ){
    change_content();
    change_title( "Gmail: Email from Google");    
    set_favicon("https://mail.google.com/favicon.ico");
    HAS_SWITCHED = true;    
  }
}

 
Тобто, сам перехоплення поведінки користувача — достатньо тривіальний, і не хитромудрий. Далі, функція change_content () відповідає за створення нових елементів DOM-дерева, що будуть відображені поверх оригінального контенту сторінки.
 
 
А якщо ви любите понастальгіровать:
Аза Раскін в своєму пості, присвяченому цій темі, реалізував приклад цієї поведінки, і якщо ви перемкніть вкладку з постом — повернувшись в неї ви отримаєте скріншот сторінки авторизації Gmail зразка 2010 року.
 
У кожному разі, хотілося б нагадати — будьте гранично уважні, це основа вашої безпеки в мережі.
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.