Фишинг-атака на вкладки браузера
Аза Раскин (Aza Raskin), 1 из разработчиков Firefox, сообщил о новом типе атак против всех браузеров, которую он назвал "tabnapping" (фактически - позабыл про вкладку).
🕛 27.05.2010, 00:43
Суть атаки заключается в том, что когда пользователь отвлекшись от просмотра текущей веб-страницы производит переход на другую (это событие нетрудно закрепить при помощи JAVASCRIPT), предыдущий сайт подменяет в собственной вкладке иконку, заголовок и содержимое на контент, напоминающий какой-либо известный интернет-сайт, требующий ввода данных пользователя (пароля, имени, номера кредитной карты и т.д.). С позиции пользователя всё выглядит так, что при возврате на старую вкладку или страницу, вы оказываетесь на веб-ресурсе, который требует авторизации (к примеру, из-за разрыва сессии, как это нередко делает Gmail), и, не обращая внимания на URL страницы, вы без боязни вводите туда свои данные, этим передавая их в руки мошенника.Атака, конечно, основана на невнимательности людей и уверенности в том, что иконку ресурса, его заголовок и содержимое никто без вашего ведома не мог заменить. Наиболее простой метод защиты - проверка URL страницы вкладки, на которую вы возвращаетесь, применение SSL для важных сайтов и применение, к примеру, расширения Firefox NOSCIPT, которое изначально запрещает применение JAVASCRIPT на новых, незнакомых сайтах.