Tabnabbing napada - Nova taktika za krađu identiteta

Sadržaj:

Tabnabbing napada - Nova taktika za krađu identiteta
Tabnabbing napada - Nova taktika za krađu identiteta

Video: Tabnabbing napada - Nova taktika za krađu identiteta

Video: Tabnabbing napada - Nova taktika za krađu identiteta
Video: REVAN - THE COMPLETE STORY - YouTube 2024, Ožujak
Anonim

Većina vas je svjesna Krađa identiteta, gdje se pokreće neovlašteni postupak s namjerom stjecanja osjetljivih informacija poput zaporki i pojedinosti o kreditnoj kartici, predstavljanjem sebe kao legitimnim entitetom. Ali što ako ste na legitimnoj stranici i stranici koju ste tražili, mijenja lažnu stranicu, nakon što posjetite drugu karticu? Ovo se zove Tabnabbing!

Image
Image

Kako funkcionira Tabnabbing

  • Idete na pravi web mjesto.
  • Otvarate drugu karticu i pregledavate drugu web lokaciju.
  • Nakon nekog vremena vraćate se na prvu karticu.
  • Pozdravljali ste nove podatke za prijavu, možda na Gmail račun.
  • Ponovno se prijavljujete ne sumnjate da je stranica, uključujući i favicon, zapravo promijenila iza leđa!

To se sve može učiniti samo s malo JavaScript-a koji se odvija odmah. Budući da korisnik skenira svoje mnoge otvorene kartice, favicon i naslov djeluju kao jaka vizualna memorija za pisanje, mogu se oblikovati i oblikovati, a korisnik će najvjerojatnije jednostavno misliti da su otvorili Gmail karticu. Kada kliknu natrag na lažnu karticu Gmaila, vidjet će standardnu stranicu za prijavu na Gmail, pretpostavimo da su odjavljeni i da se prijavljuju za svoje vjerodajnice.

Napad se pretvara u percipiranoj nepromjenljivosti kartica. Nakon što korisnik unese svoje podatke za prijavu i ponovno ga pošalje na svoj poslužitelj, preusmjerite ih na Gmail. Budući da nikad nisu bili prijavljeni na prvo mjesto, pojavit će se kao da je prijava uspješna.

Posjetite web stranicu, prebacite se na drugu karticu, a iza leđa će se prva stranica promijeniti!

Obrnuti Tabnabbing

Reverse Tabnabbing pojavljuje se napadač koristi window.opener.location.assign () zamijeniti pozadinsku karticu zlonamjernim dokumentom. Naravno, ova akcija također mijenja adresnu traku na pozadinskoj kartici, ali napadač se nada da će žrtva biti manje pažljiva i slijepo će unijeti svoju lozinku ili druge osjetljive podatke kada se vrati u pozadinu, kaže Google.

Izlazak bi bio ako svi vlasnici web-lokacija upotrebljavaju sljedeću oznaku:

target='_blank' rel='noopener noreferrer'

Da biste spriječili iskorištavanje ove ranjivosti, WordPress sada započinje s automatskim dodavanjem oznaka noopener noreferrer.

Sada pogledajte Spear Phishing, Whaling, Vishing i Smishing prijevare.

Preporučeni: