Tablillaje

Explosión de phishing informático

Tabnabbing es un exploit informático y un ataque de phishing que persuade a los usuarios a enviar sus datos de acceso y contraseñas a sitios web populares haciéndose pasar por esos sitios y convenciendo al usuario de que el sitio es genuino. El nombre del ataque fue acuñado a principios de 2010 por Aza Raskin , investigadora de seguridad y experta en diseño. ^{[1] [2]} El ataque se aprovecha de la confianza del usuario y de la falta de atención a los detalles con respecto a las pestañas, y de la capacidad de los navegadores de navegar por el origen de una página en pestañas inactivas mucho tiempo después de que la página se haya cargado. Tabnabbing es diferente de la mayoría de los ataques de phishing en que el usuario ya no recuerda que una determinada pestaña fue el resultado de un enlace no relacionado con la página de inicio de sesión, porque la página de inicio de sesión falsa se carga en una de las pestañas abiertas de larga duración en su navegador. ^[3]

El ataque hace que el navegador navegue a la página suplantada después de que la página haya estado desatendida durante algún tiempo. Un usuario que regresa después de un tiempo y ve la página de inicio de sesión puede ser inducido a creer que la página es legítima e ingresar su nombre de usuario, contraseña y otros detalles que se utilizarán para fines indebidos. Se puede hacer que el ataque tenga más probabilidades de éxito si el atacante puede verificar los sitios web conocidos que el usuario ha cargado en el pasado o en otras pestañas, y carga una simulación de los mismos sitios. Este ataque se puede realizar incluso si JavaScript está deshabilitado, utilizando el elemento meta " meta refresh " , un atributo HTML utilizado para la redirección de páginas que provoca una recarga de una nueva página especificada después de un intervalo de tiempo determinado. ^[4]

La extensión NoScript para Mozilla Firefox protege tanto de los ataques basados ​​en JavaScript como de los ataques sin scripts, basados ​​en la actualización de metadatos, al impedir que las pestañas inactivas cambien la ubicación de la página. ^[5] Debido a que existen propósitos legítimos para las redirecciones de pestañas inactivas, no se pueden deshabilitar en todos los navegadores de forma predeterminada sin dañar algunas aplicaciones. El ataque tampoco es muy común, lo que da a los proveedores de navegadores pocos incentivos para implementar un cambio radical.

Véase también

• Suplantación de identidad (phishing)
• Hacker (seguridad informática)

Referencias

1. Claburn, Thomas (25 de mayo de 2010). "El ataque Tabnapping facilita el phishing". Information Week . Consultado el 19 de febrero de 2012 .
2. "Revelación original de Aza Raskin sobre el tabnabbing". Azarask.in. 25 de mayo de 2010. Consultado el 19 de febrero de 2012 .
3. Christina Warren 164 (25 de mayo de 2010). "Un nuevo tipo de ataque de phishing ataca las pestañas de su navegador". Mashable.com . Consultado el 19 de febrero de 2012 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
4. Adler, Eitan (30 de mayo de 2010). "Los pensamientos de Eitan Adler: Tabnabbing sin Javascript". Blog.eitanadler.com . Consultado el 19 de febrero de 2012 .
5. "Registro de cambios de NoScript 1.9.9.81 que anuncia protección específica contra el tablapping". Noscript.net . Consultado el 19 de febrero de 2012 .

Enlaces externos

• "Nueva táctica de phishing perversa dirigida a las pestañas". Krebs on Security. 10 de mayo de 2010.