Tabnabbing, es el nombre que recibe un nuevo tipo de phishing que aprovecha la distracción de los usuarios y la confianza que tienen sobre sus pestañas abiertas.
La técnica consiste en detectar un cambio de pestañas para mostrar automáticamente un contenido diferente, mientras el usuario navega por otras páginas. La forma más sencilla de comprenderlo es verlo en acción, prueba lo siguiente:
1- Accede a este sitio.
2- Cambia de pestaña o abre una nueva.
3- Espera 5 segundos y vuelve a la pestaña del foro…
Notarás un cambió automático que muestra lo que parece ser el inicio de Gmail. En realidad se trata de una imagen jpg, el sitio detectó que cambiaste de pestaña y modificó su contenido para «engañarte».
Si se tratara de un ataque real y creyeras que estás en la página de Facebook, serías una víctima del phishing, pues estarías introduciendo tu usuario y contraseña en una página falsa.
Con muchas pestañas abiertas caer en la trampa no sería difícil, pues es posible cambiar hasta el favicon y el título de la pestaña, una mala jugada de nuestra memoria o una pequeña distracción al no mirar la URL del navegador nos podría salir caro.
Este método fue descubierto por Aza Raskin y en su blog puedes encontrar todos los detalles, de hecho en el foro estoy utilizando como ejemplo su prueba de concepto, un pequeño código de JavaScript que carga una imagen al cambiar el «focus» de la pestaña. En su blog hace lo mismo, pero cargando una imagen de Gmail :)
El ataque podría ser mucho más agresivo si se espían los historiales de navegación y se muestran páginas falsas según los sitios visitados, incluso se podría detectar a qué servicios está conectado el usuario para mostrar páginas específicas.
Pero los problemas no terminan aquí, como lo demuestra otro investigador llamado Aviv Raff, el ataque se puede efectuar sin uso de JavaScript.
Hay que estar más atentos que nunca! y mirar siempre las URLs.
En el blog de Brian Krebs también podrás encontrar información sobre Tabnabbing.
Ver también:
Phishing a nivel local en equipos infectados.
Desactivado del foro porque resultaba molesto :)
Se puede ver en funcionamiento en el post de Aza Raskin.
Jaja, confunde no?, yo me confundí con 3 o 4 pestañas abiertas y el foro jajaja :P
lo unico que no cambia es la URL pero por lo demas :O
Facebook loco!!!
Che me quede con la boca abierta! es increible las cosas que inventan..
Gracias por estar tan adelantado!
A mi también me pasó… con el foro!
En Chrome a veces funciona y a veces no, recién probé con el foro y no hizo nada. Pero entré al blog de Aza y me redireccionó bien.
La primera vez que la ví tenía varias pestañas abiertas y me dejó loco por unos segundos, porque yo nunca había abierto Gmail :D
Mañana lo saco del foro porque es re molesto, quería usarlo como ejemplo para que quede claro que lo hace cualquiera, al menos con el código de ejemplo que comparte.
Puede ser que no funcione en Chrome?
El código, para los interesados, Aza Raskin lo comparte al final de su post:
"You can get the source code here: bgattack.js"