Большинство из вас знают о Фишинг, где инициируется мошеннический процесс с целью получения конфиденциальной информации, такой как пароли и данные кредитной карты, путем представления себя как законного субъекта. Но что, если вы находитесь на законной странице и на странице, которую вы искали, меняется на мошенническую страницу, как только вы посещаете другую вкладку? Это называется Tabnabbing!
Как работает Tabnabbing
- Вы переходите к подлинному веб-сайту.
- Вы открываете другую вкладку и просматриваете другой сайт.
- Через некоторое время вы вернетесь к первой вкладке.
- Вас приветствуют свежие данные для входа, возможно, в вашу учетную запись Gmail.
- Вы снова входите в систему, не подозревая, что страница, включая значок, действительно изменилась за вашей спиной!
Все это можно сделать с помощью всего лишь немного JavaScript, который происходит мгновенно. Когда пользователь просматривает свои многочисленные открытые вкладки, значки и названия действуют как сильная визуальная память, гибкая и гибкая, и пользователь, скорее всего, просто подумает, что они оставили вкладку Gmail открытой. Когда они вернутся на поддельную вкладку Gmail, они увидят стандартную страницу входа в Gmail, предположим, что они вышли из системы и предоставляют свои учетные данные для входа в систему.
Атака преследует предполагаемую неизменность вкладок. После того, как пользователь ввел свою регистрационную информацию и отправил ее обратно на ваш сервер, вы перенаправляете их в Gmail. Поскольку они никогда не выходили из системы, это будет выглядеть так, как будто логин был успешным.
Вы посещаете веб-страницу, вы переключаетесь на другую вкладку, а за вашей спиной ваша первая страница будет изменена!
Обратный Tabnabbing
Обратное Tabnabbing происходит злоумышленник использует window.opener.location.assign () для замены закладки фона вредоносным документом. Конечно, это действие также изменяет адресную строку вкладки фона, но злоумышленник надеется, что жертва будет менее внимательна и будет слепо вводить свой пароль или другую конфиденциальную информацию при возврате в фоновое задание, говорит Google.
Выход был бы, если бы все владельцы сайтов использовали следующий тег:
target='_blank' rel='noopener noreferrer'
Чтобы предотвратить эту уязвимость от использования, WordPress начал добавлять теги noopener noreferrer автоматически.
Теперь взгляните на мошенничество Spear Phishing, Whaling и Vishing and Smishing.
