Новая фишинг-атака на вкладки веб-браузера

25.05.2010 21:00

Аза Раскин (Aza Raskin), один из разработчиков Mozilla Firefox, рассказал о новом типе атак против всех браузеров, которую он назвал "tabnapping" (буквально - забыл про вкладку).

Суть атаки заключается в том, что когда пользователь отвлекшись от просмотра текущей веб-страницы осуществляет переход на другую (это событие нетрудно зафиксировать с помощью JavaScript), предыдущий веб-сайт подменяет в своей вкладке иконку, заголовок и содержимое на контент, напоминающий какой-нибудь популярный сайт, требующий ввода данных пользователя (пароля, имени, номера кредитной карты и т.д.). Со стороны пользователя всё выглядит так, что при возврате на старую вкладку или страницу, вы оказываетесь на сайте, который требует авторизации (например, из-за разрыва сессии, как это часто делает Gmail), и, не обращая внимания на URL страницы, вы без боязни вводите туда свои данные, тем самым передавая их в руки мошенника.

Атака, естественно, основана на невнимательности пользователей и уверенности в том, что иконку сайта, его заголовок и содержимое никто без вашего ведома не мог заменить. Самый простой способ защиты - это проверка URL страницы вкладки, на которую вы возвращаетесь, использование SSL для важных сайтов и использование, например, расширения Mozilla Firefox NoScipt, которое по умолчанию запрещает использование JavaScript на новых, незнакомых сайтах.

исправить +5 +/–

Главная ссылка к новости (http://www.azarask.in/blog/pos...)

Автор новости: Artem S. Tashkinov

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/26726-security

Ключевые слова: security, www, web, tab, phishing

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (27)

1.1, Crazy Alex (??), 23:20, 25/05/2010 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Ну, все блокировать - это жестоко уже нынче, а вот разрешать фоновые скрипты только сайтам из белого списка было бы интересно. Заодно и нагрузка на процессор в разы уменьшилась бы.

2.3, User294 (ok), 00:11, 26/05/2010 [^] [^^] [^^^] [ответить]	+9 +/–
NoScript вам в руки?! Вещь. И проц разгружает, и флешатину и нежелательную активность пристреливает.

2.23, Knuckles (ok), 02:19, 27/05/2010 [^] [^^] [^^^] [ответить]	–1 +/–
И как ты отличишь "фоновый" скрипт от "нефонового"? А главное, что это?

2.24, moralez (?), 06:18, 27/05/2010 [^] [^^] [^^^] [ответить]	+2 +/–
Не знаю как это работает в торМозилле, а в Опере я тоже отключил JS и все плагины в главных настройках, а если какому-то сайту оно надо, двумя щелчками мыши включаешь именно для этого сайта. И всё пучком!

3.25, moralez (?), 06:20, 27/05/2010 [^] [^^] [^^^] [ответить]	+/–
c popup-ами то же самое. где надо включаешь, по дефолту везде выключено. ибо нефиг!

1.2, name (??), 23:34, 25/05/2010 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
запретить менять заголовок окна. запрет изменения текста строки статуса в мозилле уже давно стоит.

2.4, Аноним (-), 00:30, 26/05/2010 [^] [^^] [^^^] [ответить]	–2 +/–
>запретить менять заголовок окна. >запрет изменения текста строки статуса в мозилле уже давно стоит. Ничего подобного, document.title='..' работал и работает, но для установки заголовка окна даже JavaScript не нужен, тег TITLE вполне справиться. Ссылку в строке статуса все поисковики до сих пор меняют, всегда плююсь, копируешь одно а получаешь другое.

1.5, Проходимец (?), 05:00, 26/05/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В очередной раз использование NoScript позволяет избежать уязвимость. По моему его уже пора встроить в браузер, а лучше во все браузеры.

2.6, аноним (?), 05:57, 26/05/2010 [^] [^^] [^^^] [ответить]	–5 +/–
>В очередной раз использование NoScript позволяет избежать уязвимость. По моему его уже >пора встроить в браузер, а лучше во все браузеры. В правильных браузерах аналогичная функциональность встроена.

3.15, Александр (??), 09:44, 26/05/2010 [^] [^^] [^^^] [ответить]

–1 +/–

>>В очередной раз использование NoScript позволяет избежать уязвимость. По моему его уже
>>пора встроить в браузер, а лучше во все браузеры.
>
>В правильных браузерах аналогичная функциональность встроена.

Правильных = созданных во времена оные и под задачи тех времен (показывать текст на некрасивых страницах)? Или имеется в виду галочка "исполнять JavaScript" в настройках?

Сегодня такой "правильностью" мало кто будет пользоваться добровольно. Тем более что многие сайты без js нынче не особо функциональны либо просто неудобны (тот же gmail).

3.28, Аноним (-), 21:28, 31/05/2010 [^] [^^] [^^^] [ответить]	+/–
Правильный браузер не может быть закрытым.

2.7, аноним (?), 06:01, 26/05/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Лучше бы расширили базовые функции ограничения джаваскриптов, носкрипт превращает серфинг в мазохизм. А вообще, это проблема любителей держать по 50-100 табов, открываешь в пределах 10 табов и всегда знаешь, что там есть реально.

3.9, LuckyCarapuzz (?), 07:48, 26/05/2010 [^] [^^] [^^^] [ответить]	+/–
Yesscript Вам в руки. ;)

4.11, Аноним (-), 08:47, 26/05/2010 [^] [^^] [^^^] [ответить]	+/–
Не, это все геморой, вести черно-белые списки. Имею в виду, например, наглухо запретить джаваскриптам открывать дополнительные странички, несмотря на то что давятся попапы, все равно джаваскриптами открываются страницы с рекламой и т.п., да взять тот же сайт РБК.

3.14, Александр (??), 09:41, 26/05/2010 [^] [^^] [^^^] [ответить]	+/–
Сотню, к несчастью, FF не выдерживает.

4.16, Sts (?), 09:53, 26/05/2010 [^] [^^] [^^^] [ответить]	+/–
У меня более сотни выдерживает

5.17, Аноним (-), 10:07, 26/05/2010 [^] [^^] [^^^] [ответить]	+2 +/–
У меня сотню мозг не выдерживает(

4.19, Гентушник (ok), 13:41, 26/05/2010 [^] [^^] [^^^] [ответить]	+/–
У меня выдерживает, но тормозит, да.

5.22, DeadMustdie (??), 21:43, 26/05/2010 [^] [^^] [^^^] [ответить]	+/–
> У меня выдерживает, но тормозит, да. Кто тормозит? Мозг или браузер?

6.26, Гентушник (ok), 12:19, 27/05/2010 [^] [^^] [^^^] [ответить]	+/–
>> У меня выдерживает, но тормозит, да. > >Кто тормозит? Мозг или браузер? Посмотрите сообщение на которое я отвечал. Там нет ни слова о мозге.

1.8, Oleg (??), 07:09, 26/05/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
title же меняется самой страницей. А js делается просто редирект. Тут необходим "правильный подход" А вообще можно редиректы запретить, изменени титлов и фавиконов (они важнее). Согласен с анонимом 20 табов можно в голове держать ;)

1.10, Zenithar (?), 08:42, 26/05/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ну, все. Одну лазейку нашли - и теперь разные модификации использования этого способа придумают! Чем спасать видновых друзей посоветуете? Кроме недружелюбного noScript

2.12, аноним (?), 09:08, 26/05/2010 [^] [^^] [^^^] [ответить]	+6 +/–
Живительной эвтаназией

2.18, XoRe (ok), 13:38, 26/05/2010 [^] [^^] [^^^] [ответить]	+/–
>Ну, все. Одну лазейку нашли - и теперь разные модификации использования этого >способа придумают! Чем спасать видновых друзей посоветуете? Кроме недружелюбного noScript А причем тут windows? Тырят-то пароли. Такую атаку и для пользователей openbsd можно сварганить.

1.20, Комбинатор (?), 14:59, 26/05/2010 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Кому то это и во вред, а кому то на пользу....

1.21, Аноним (-), 16:31, 26/05/2010 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Forbidden

You don't have permission to access /blog/post/a-new-type-of-phishing-attack/ on this server

это только у меня ? :)

2.27, Junker (?), 18:28, 27/05/2010 [^] [^^] [^^^] [ответить]	+/–
Это на тебя "tabnapping" атаку натравили, а ты и не понял.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: