Počet phishingových útoků využívajících tabnapping roste

Podle posledních průzkumů roste stále více útoků, které využívájí záměnu stránky v nečinné záložce. Tyto útoky bývají označované jako tabnapping (tabnabbing, tabgrabbing) nebo také tabjacking a jejich cílem je získat různé přístupové údaje například k bankovním nebo e-mailovým účtům, ale také přístupy k sociálním sítím či jiné důvěrné informace.

Princip je poměrně jednoduchý, útočník využívá nepozornosti uživatele, kdy má v prohlížeči otevřeno několik záložek s různými načtenými stránkami:

1. Uživatel načte stránku s připraveným zákeřným kódem. Stránka může být tématicky zaměřena na cokoliv a navštívena může být třeba přes výsledky vyhledávání.
    
2. Jakmile uživatel přejde na jinou záložku a záložka se zákeřným kódem není po nějakou dobu aktivní, dojde k jejímu nenápadnému přesměrování a načtení připravené podvodné stránky, kde mohou být požadovány přihlašovací údaje. Trik spočívá v tom, že uživatel si může myslet, že se ještě ke svému účtu nepřihlásil nebo byl přihlášen, ale došlo třeba k automatickému odhlášení po uplynutí časového limitu.

Názornou ukázku předvádí Aza Raskin. Nejdříve se načte popis tohoto útoku. Pokud přejdete na jinou záložku a nebudete mít zapnutou žádnou ochranu, dojde během chvilky k načtení jiné stránky(obrázku), která vypadá jako stránka k přihlášení k Google účtu.

Nebezpečí se týká všech nejčastěji používaných prohlížečů - MSIE, Firefoxu, GoogleChrome

Další odkazy:

PC Advisor - Mozilla uncovers new 'tabnapping' phishing tactic

COMPUTERWORLD - How to foil Web browser 'tabnapping'

The Register - Tabnapping attack baits phishing trawl