The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новая фишинг-атака на вкладки веб-браузера

25.05.2010 21:00

Аза Раскин (Aza Raskin), один из разработчиков Mozilla Firefox, рассказал о новом типе атак против всех браузеров, которую он назвал "tabnapping" (буквально - забыл про вкладку).

Суть атаки заключается в том, что когда пользователь отвлекшись от просмотра текущей веб-страницы осуществляет переход на другую (это событие нетрудно зафиксировать с помощью JavaScript), предыдущий веб-сайт подменяет в своей вкладке иконку, заголовок и содержимое на контент, напоминающий какой-нибудь популярный сайт, требующий ввода данных пользователя (пароля, имени, номера кредитной карты и т.д.). Со стороны пользователя всё выглядит так, что при возврате на старую вкладку или страницу, вы оказываетесь на сайте, который требует авторизации (например, из-за разрыва сессии, как это часто делает Gmail), и, не обращая внимания на URL страницы, вы без боязни вводите туда свои данные, тем самым передавая их в руки мошенника.

Атака, естественно, основана на невнимательности пользователей и уверенности в том, что иконку сайта, его заголовок и содержимое никто без вашего ведома не мог заменить. Самый простой способ защиты - это проверка URL страницы вкладки, на которую вы возвращаетесь, использование SSL для важных сайтов и использование, например, расширения Mozilla Firefox NoScipt, которое по умолчанию запрещает использование JavaScript на новых, незнакомых сайтах.

  1. Главная ссылка к новости (http://www.azarask.in/blog/pos...)
Автор новости: Artem S. Tashkinov
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/26726-security
Ключевые слова: security, www, web, tab, phishing
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Crazy Alex (??), 23:20, 25/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну, все блокировать - это жестоко уже нынче, а вот разрешать фоновые скрипты только сайтам из белого списка было бы интересно. Заодно и нагрузка на процессор в разы уменьшилась бы.
     
     
  • 2.3, User294 (ok), 00:11, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +9 +/
    NoScript вам в руки?! Вещь. И проц разгружает, и флешатину и нежелательную активность пристреливает.
     
  • 2.23, Knuckles (ok), 02:19, 27/05/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И как ты отличишь "фоновый" скрипт от "нефонового"? А главное, что это?
     
  • 2.24, moralez (?), 06:18, 27/05/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не знаю как это работает в торМозилле, а в Опере я тоже отключил JS и все плагины в главных настройках, а если какому-то сайту оно надо, двумя щелчками мыши включаешь именно для этого сайта. И всё пучком!
     
     
  • 3.25, moralez (?), 06:20, 27/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    c popup-ами то же самое. где надо включаешь, по дефолту везде выключено. ибо нефиг!
     

  • 1.2, name (??), 23:34, 25/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    запретить менять заголовок окна.
    запрет изменения текста строки статуса в мозилле уже давно стоит.
     
     
  • 2.4, Аноним (-), 00:30, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >запретить менять заголовок окна.
    >запрет изменения текста строки статуса в мозилле уже давно стоит.

    Ничего подобного, document.title='..' работал и работает, но для установки заголовка окна даже JavaScript не нужен, тег TITLE вполне справиться. Ссылку в строке статуса все поисковики до сих пор меняют, всегда плююсь, копируешь одно а получаешь другое.

     

  • 1.5, Проходимец (?), 05:00, 26/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В очередной раз использование NoScript позволяет избежать уязвимость. По моему его уже пора встроить в браузер, а лучше во все браузеры.
     
     
  • 2.6, аноним (?), 05:57, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >В очередной раз использование NoScript позволяет избежать уязвимость. По моему его уже
    >пора встроить в браузер, а лучше во все браузеры.

    В правильных браузерах аналогичная функциональность встроена.

     
     
  • 3.15, Александр (??), 09:44, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>В очередной раз использование NoScript позволяет избежать уязвимость. По моему его уже
    >>пора встроить в браузер, а лучше во все браузеры.
    >
    >В правильных браузерах аналогичная функциональность встроена.

    Правильных = созданных во времена оные и под задачи тех времен (показывать текст на некрасивых страницах)? Или имеется в виду галочка "исполнять JavaScript" в настройках?

    Сегодня такой "правильностью" мало кто будет пользоваться добровольно. Тем более что многие сайты без js нынче не особо функциональны либо просто неудобны (тот же gmail).

     
  • 3.28, Аноним (-), 21:28, 31/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Правильный браузер не может быть закрытым.
     
  • 2.7, аноним (?), 06:01, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучше бы расширили базовые функции ограничения джаваскриптов,
    носкрипт превращает серфинг в мазохизм.
    А вообще, это проблема любителей держать по 50-100 табов,
    открываешь в пределах 10 табов и всегда знаешь, что там есть реально.
     
     
  • 3.9, LuckyCarapuzz (?), 07:48, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Yesscript Вам в руки. ;)
     
     
  • 4.11, Аноним (-), 08:47, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не, это все геморой, вести черно-белые списки.
    Имею в виду, например, наглухо запретить джаваскриптам открывать дополнительные странички,
    несмотря на то что давятся попапы, все равно джаваскриптами открываются страницы с рекламой и т.п., да взять тот же сайт РБК.
     
  • 3.14, Александр (??), 09:41, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Сотню, к несчастью, FF не выдерживает.

     
     
  • 4.16, Sts (?), 09:53, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    У меня более сотни выдерживает
     
     
  • 5.17, Аноним (-), 10:07, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У меня сотню мозг не выдерживает(
     
  • 4.19, Гентушник (ok), 13:41, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    У меня выдерживает, но тормозит, да.
     
     
  • 5.22, DeadMustdie (??), 21:43, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня выдерживает, но тормозит, да.

    Кто тормозит? Мозг или браузер?

     
     
  • 6.26, Гентушник (ok), 12:19, 27/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> У меня выдерживает, но тормозит, да.
    >
    >Кто тормозит? Мозг или браузер?

    Посмотрите сообщение на которое я отвечал. Там нет ни слова о мозге.

     

  • 1.8, Oleg (??), 07:09, 26/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    title же меняется самой страницей. А js делается просто редирект.
    Тут необходим "правильный подход"

    А вообще можно редиректы запретить, изменени титлов и фавиконов (они важнее).
    Согласен с анонимом 20 табов можно в голове держать ;)

     
  • 1.10, Zenithar (?), 08:42, 26/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну, все. Одну лазейку нашли - и теперь разные модификации использования этого способа придумают! Чем спасать видновых друзей посоветуете? Кроме недружелюбного noScript
     
     
  • 2.12, аноним (?), 09:08, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Живительной эвтаназией
     
  • 2.18, XoRe (ok), 13:38, 26/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну, все. Одну лазейку нашли - и теперь разные модификации использования этого
    >способа придумают! Чем спасать видновых друзей посоветуете? Кроме недружелюбного noScript

    А причем тут windows?
    Тырят-то пароли.
    Такую атаку и для пользователей openbsd можно сварганить.

     

  • 1.20, Комбинатор (?), 14:59, 26/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кому то это и во вред, а кому то на пользу....
     
  • 1.21, Аноним (-), 16:31, 26/05/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Forbidden

    You don't have permission to access /blog/post/a-new-type-of-phishing-attack/ on this server

    это только у меня ? :)

     
     
  • 2.27, Junker (?), 18:28, 27/05/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Это на тебя "tabnapping" атаку натравили, а ты и не понял.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру