Tesztpad.hu - Hardver, mobil tesztek

A számítógépes bűnözők, illetve az adathalászok egyre gyakrabban alkalmazzák azt a módszert, amellyel a webböngészők egyik népszerű funkcióját igyekeznek a felhasználók ellen fordítani.

A Panda Security arról számolt be, hogy egyre gyakoribbá válik az úgynevezett tabnabbing technika alkalmazása a bűnözői körökben. Mindez egyben azt is jelenti, hogy a felhasználók megtévesztéséhez és a bizalmas adatok gyűjtéséhez egy újabb eszközt vetett be az internetes alvilág. De mit is takar valójában a tabnabbing módszer?

Aza Raskin, a Firefox vezető tervezője még májusban a blogján egy érdekes bejegyzést tett közzé, amelyben arról számolt be, hogy egy új, "tabnabbing"-re keresztelt technika révén lehetőségük nyílhat az adathalászoknak a felhasználók megtévesztésére. A technika alapjában véve arra építkezik, hogy a felhasználók legtöbbször élnek a többfüles böngészés lehetőségével, és a megnyitott böngészőfüleket gyakran sokáig be sem zárják. A tabnabbing nem tesz mást, mint speciálisan összeállított scriptek segítségével megváltoztatja a füleken megjelenő tartalmat. A módszer lényege tulajdonképpen egyszerű, hiszen ha egy tabnabbing-re felkészített weboldalt megnyit a felhasználó, és elnavigál az adott fülről, akkor a weboldal JavaScriptek segítségével - akár a háttérben is - átformálja a weblapot. A támadóknak arra is van lehetőségük, hogy a füleken megjelenő oldalnevet valamint az ahhoz tartozó ikont (favicon-t) módosítsák. Ez azért fontos, mert legtöbben a weboldal neve és a kis ikonok alapján navigálnak a fülek között. A tabnabbing révén lehetővé válhat például, hogy egy ártalmatlannak látszó blog egyszer csak látszólag átalakul a Gmail weboldalává. Ha a felhasználó a hamis Gmail-t tartalmazó fülre kattint, és abban megadja az adatait, akkor azok az adathalászok szervereire kerülnek.

A technikát Aza Raskin a saját blogján mutatta be először: