Tabnabbing: Atentos a una nueva forma de phishing
En Internet, todo se mueve muy deprisa. También el malware, y las nuevas formas de phishing. Por suerte, ese nuevo método no ha sido descubierto por un hacker malicioso, sino por un desarrollador en Mozilla, Aza Raskin. La idea es simple: cuando el usuario no esté mirando la pestaña, cambiamos su aspecto para que parezca otra.
Este ataque puede ser realmente efectivo. No somos pocos los que acostumbramos a trabajar con varias pestañas, y lo que nos guía es su icono y su título. Tal y como pone como ejemplo Aza Raskin, el desarrollador de Mozilla que lo ha publicado, si hacemos clic en la pestaña con el icono de Gmail y vemos que nos pide hacer login otra vez porque no ha habido actividad, lo haríamos prácticamente sin dudar. Sin embargo, lo que podríamos estar haciendo es proporcionar nuestra información a terceras partes.
El alcance de un ataque de este tipo en una página muy visitada podría ser desastroso, combinando con otras vulnerabilidades y conociendo si el usuario ya ha hecho login o no. Simplemente como ejemplo: accedes a un artículo en Genbeta, a la que previamente han descubierto una vulnerabilidad XSS, mediante un enlace acortado para ocultar la URL. Cuando llegas, lees el artículo, y dejas la pestaña abierta. Con la vulnerabilidad XSS, se ejecuta el código malicioso y la página cambia a la pantalla de login de GMail. Entras en esa pestaña creyendo que es el Gmail real, introduces tus datos, y automáticamente ya han sido mandados a un tercero. Es sorprendentemente fácil caer, ¿verdad?
Atentos a una nueva forma de phishing: el tabnabbing
Solución: fijarse bien en la URL de la pestaña en la que nos piden ingresar los datos, y más si es alguna página que no hemos introducido nosotros manualmente. Cerrar y volver a abrir por si las moscas.