Tabnabbing, nuevo tipo de ataque de phishing

httpwww.jpg

Aza Raskin, investigador de seguridad de Mozilla, dio a conocer recientemente un nuevo tipo de ataque que ha sido denominado como «Tabnabbing» y que está dirigido a explotar el menú de navegación por pestañas que prácticamente hoy en día han adoptado la mayoría (si no es que todos) de los navegadores web.

Esta técnica consiste en modificar el contenido de una pestaña que no está siendo vista por el usuario así como el favicon y título de la misma. Para llevar a cabo el ataque, el usuario primero tendría que visitar una página web maliciosa que ejecute un código Javascript, el cual detecta las pestañas que están abiertas en el navegador y que son propensas para la suplantación de contenido.

Raskin publicó un vídeo en el que demuestra este método de ataque. En el vídeo se puede ver como después de que deja de enfocar una pestaña, unos segundos después ésta cambia de aspecto utilizando el icono y título de Gmail, y una vez que se vuelve a enfocar la página aparenta el login del servicio de correo.

También pueden probar como funciona el Tabnabbing desde página de Raskin. El investigador de seguridad utiliza como ejemplo Gmail, y de hecho sólo lo hace con una captura de pantalla, pero los criminales pueden aprovechar este método para simular el contenido de una entidad financiera o cualquier sitio.

Así que atentos a esta técnica que seguramente no tardará en ser explotada. Siempre debemos comprobar que la dirección web corresponda al sitio en el que creemos estar y estar muy atentos de las etiquetas de seguridad que suelen mostrarnos los navegadores y que nos ayudan a saber si una web es legítima.

Scroll al inicio