Tabnabbing,网络钓鱼攻击的新形式!
“网络钓鱼攻击就像一个魔术,它全都是关于信任,幻想和欺骗的。”
使目标顺其自然,相信它是合法的并使用其凭据登录才是使此简单技巧成功的要素! 即使遵循以下提示以防止自己成为受害者,许多用户还是放弃了自己的私人数据-单击任何链接或附件之前三思而行,避免可能导致恶意内容的链接。
但是,一种新型的网络钓鱼攻击已在这片海洋中起航,这被称为“ tabnabbing”,似乎没有足够的方法来窃取您的数据。
Tabnabbers如何获取您的数据
因此,基本上Tabnabbing的过程是打开许多标签,以至于您失去了计数,或者保存了一些文章以供日后阅读或进行了一些研究……等等,这使得黑客劫持了浏览器上不活动的标签,并向您显示了虚假的登录页面。 它可能是用于电子邮件站点,社交媒体站点,购物站点,甚至是您的银行,并且由于您打开了太多标签页,因此看到它更改/刷新的可能性非常低,因此如果您在此过程之后登录已在后台进行,他们可以获取您的信息并在合法站点上使用它。
根据 Mozilla Firefox团队的创意负责人 Aza Raskin的 说法,攻击实际上是如何进行的
1-用户导航到正常外观的网站。
2-您可以检测页面何时失去焦点并且有一段时间没有与之交互。
3 —将图标替换为Gmail图标,将标题替换为“ Gmail:来自Google的电子邮件”,并使用类似Gmail登录的页面。 只需一点点Javascript即可立即完成所有操作。
4-当用户扫描其许多打开的选项卡时,图标图标和标题充当强烈的视觉提示-内存具有延展性和可塑性,并且用户很可能仅以为他们将Gmail选项卡保持打开状态。 当他们单击返回到伪造的Gmail选项卡时,他们将看到标准的Gmail登录页面,假定他们已经注销,并提供其登录凭据。攻击会破坏选项卡的不变性。
5-用户输入他们的登录信息并将其发送回服务器后,即可将其重定向到Gmail。 因为他们从未被注销过,所以看起来好像登录成功了。
附带提供的示例Aza可以帮助我们了解其工作原理,请单击此处转到他的网站并更改标签一会儿,您会发现它已更改,很遗憾,此后他不再创建某些脚本,即为什么会导致重定向到断开的图像链接,但是可以理解这个概念……所以!
您如何免受这次攻击
我对您的建议是您遵守安全标准,例如始终检查网站URL,不仅要在网站URL加载一次之后,而且在系统提示您输入密码或其他个人信息时都要进行检查。 另外,使用2FA(2因子身份验证)是一种使黑客更难以访问您的帐户的方法,即使他设法获得了密码。
这节课的道德? 信任和良好的网上冲浪习惯才是一个好的字节跳水者!
