SummArg | Cursos y recursos para webmasters

29/05/2010

Alerta por Tabnabbing, una nueva técnica de pishing

El pishing es una forma de delito en donde el cyber-criminal se hace pasar por una empresa o persona de confianza para obtener datos privados del usuario. Uno de los modos mas comunes de hacer esto es montar un sitio web visualmente igual a otro conocido (por ejemplo, el del login de su servicio de correo) para que la víctima ingrese su usuario y contraseña habituales y ésta información sea accesible para el estafador.

Ahora se suma la técnica de tabnabbing, que consiste en un engaño basandose en cambiar la apariencia según las pestañas del navegador que están en segundo plano. De este modo al ingresar a un sitio web atacante, éste cambia de apariencia tomando como referencia una de las pestañas que tengamos abierta (gmail, hotmail, algún homebanking, etc) para intentar lograr que el usuario introduzca sus datos de login.

En la página de Aza Raskin, quién descubrió este tipo de vulnerabilidad, podemos ver el código del ataque e incluso un demo que funciona en la misma página. Para ver el demo, ingresen a su website y cambien de pestaña unos 5 segundos, luego vuelvan al website y ahi verán como el aspecto del sitio de Aza cambió por el de gmail.

Un aspecto interesante de este tipo de ataques es que cuando el incauto usuario intenta logear en su cuenta de gmail desde la página falsa, el atacante puede darle un mensaje de login exitoso y redireccionarlo a su bandeja de entrada normalmente, puesto que el usuario nunca se deslogeó, en primer lugar. Esto hace un poco mas dificil de detectar el engaño. Afortunadamente la url del atacante todavía se mantiene, con lo que podemos evitar que roben nuestros datos si estamos lo suficientemente alertas.

Dejo un screenshot en donde pueden ver la pestaña emulando el login de gmail y la url a la web de Aza Raskin.


Dejar un comentario