Tabnabbing

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Tabnabbing je v informatice název pro exploit a phishingový útok, který je založen na vylákání přihlašovacích údajů a hesel od uživatelů k jejich oblíbeným webovým službám prostřednictvím imitace webových stránek příslušných služeb a přesvědčení uživatelů o jejich autenticitě.

Charakteristika[editovat | editovat zdroj]

Název útoku byl vytvořen na počátku roku 2010 Azou Raskinem, bezpečnostním výzkumníkem a designovým expertem.[1][2] Útok zneužívá uživatelské důvěry a nepozornosti k detailu, co se týče karet prohlížeče, a schopnosti moderních webových stránek přepsat svůj obsah dlouho poté, co byla stránka načtena. Tabnabbing funguje opačným způsobem oproti většině phishingovým útokům v tom, že nenabízí uživateli možnost kliknutí na podvodný odkaz, ale místo toho načte podvodnou stránku do jedné z karet v prohlížeči.[3]

Popis činnosti[editovat | editovat zdroj]

Exploit využívá skript k přepsání webové stránky imitací známé webové služby poté, co byla daná stránka ponechána nějakou dobu bez povšimnutí. Uživatel, který ke stránce po chvíli vrátí, nalézá přepsanou webovou stránku, může být přesvědčen o její autenticitě a zadá své uživatelské údaje, heslo a další osobní údaje, které mohou být posléze zneužity. Útok pak má větší šanci na úspěch, pokud skript kontroluje sítě, které uživatel procházel v minulosti, nebe jejichž stránky má otevřené v jiných záložkách. Útok může být též proveden i se zakázaným JavaScriptem prostřednictvím použití tagu meta refresh používanému k přesměrování, který způsobí opětovné načtení specifikované nové stránky po zadaném časovém intervalu.[4]

Obrana[editovat | editovat zdroj]

Například rozšíření NoScript pro prohlížeč Mozilla Firefox je schopen zabránit útokům založeným jak na JavaScriptu, tak bezskriptovým útokům založeným právě na tagu meta refresh prostřednictvím znemožnění neaktivním kartám změnit adresu načtené stránky.[5]

Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku Tabnabbing na anglické Wikipedii.

  1. CLABURN, Thomas. Tabnapping attack makes phishing easy [online]. Information Week, 2010-05-25, [cit. 2012-02-19]. [1]. (anglicky) 
  2. Aza Raskin's original tabnabbing disclosure [online]. Azarask.in, 2010-05-25, [cit. 2012-02-19]. [2]. (anglicky) 
  3. Christina Warren 164. New Type of Phishing Attack Goes After Your Browser Tabs [online]. Mashable.com, 2010-05-25, [cit. 2012-02-19]. [3]. (anglicky) 
  4. ADLER, Eitan. Eitan Adler's thoughts: Tabnabbing Without Javascript [online]. Blog.eitanadler.com, 2010-05-30, [cit. 2012-02-19]. [4]. (anglicky) 
  5. NoScript 1.9.9.81 changelog announcing specific tabnapping protection [online]. Noscript.net, [cit. 2012-02-19]. [5]. (anglicky)