Um novo dia, um novo meio de ataque na internet. O mais atual, que ganhou o termo tabnabbing, usa uma função comum em navegadores hoje em dia, a habilidade de abrir páginas em abas, combinada com a distração dos usuários. De acordo com o criador do termo, Aza Raskin (que também é líder criativo do desenvolvimento do Firefox), o ataque constitui em detectar quando a aba foi tirada de foco, mudar o que é mostrado nela e fingir ser outro site, como a tela de login do Gmail ou de um banco.
A parte assustadora vem agora: é possível fazer tudo isso usando apenas um código Javascript. Esse hack dá certo no Firefox, Chrome e parcialmente nos navegadores IE7, IE8 e na versão para Mac do Safari, sendo que nesses três últimos o favicon não é alterado. Quer ver como ele funciona? Acesse esse link do texto de Raskin explicando o ataque, mude de aba por um tempo e volte. A tela é assustadoramente similar e se não fosse a URL denunciando o site, posso apostar que muita gente colocaria o login e senha das suas contas.
Eu não sei quanto aos leitores do TB, mas eu gostava da época em que os ataques de phishing chegavam apenas via email e não se escondiam em páginas esperando a mudança de aba para atacar. Eu era feliz e não sabia. =P
Com informações: Ajaxian, DownloadSquad | Dica do nosso developer 1001 utilidades, Leandro Alonso (@leandrow).
Assine pelo iTunes
Assine pelo Feed
A ideia é realmente muito simples… fazer mudanças no conteúdo da página ao perder foco não é nada demais, agora aproveitar-se disso realmente eu nunca tinha visto.
Tem que estar realmente distraído pra entrar num site estranho, sair da aba e ao voltar fazer login em um site que você não entrou, mas é certo que muitos acabam caindo.
Droga… mudei de e-mail e perdi o vinculo aos comentários anteriores aqui do TB =/
#fail sobrou um vídeo do vimeo no meio da tela!
(afeta o Opera, não parece mudar o favicon)
Realmente afeta mas não muda o favicon.
É lindo ver a evolução da engenharia social.
Um userscript (ou sei lá o nome certo disse que eu coloco no greasemonkey) que mudasse os favicons desses sites importantes não seria uma saída?
Eu sei que eu mudei um pouco o foco, mas é que eu abrir a página do link, mudei de aba, fui ler outra coisa, e só não fui digitar meu email lá porque uso um script que deixa o favicon azul com o número de emails. Mesmo não estando logado e ele não tendo como saber meu número de emails, estranhei a cor e lembrei o que era.
Use o Opera que os Favicons não mudam. =D
Vou ter que alertar meus pais sobre isso!
Medo. Muito medo…
É só não entrar em muito pornô ou sites que oferecem cracks e seriais.
Caramba, tem que ficar ligado tambem nos enderecos de pagina sempre… eita, se a moda pega…
Aqui no Chrome 6.0.408.1 não rolou não..
Uma boa saída para isso é mudar os hábitos (o que não é tarefa fácil), e separar sites importantes em JANELAS, vamos supor, vc mantém uma janela do firefox para navegação constante em sites aleatórios e uma outra janela com banco, gmail e orkut abertos, por exemplo…
com esse pequeno hábito, o problema já se torna bem mais difícil de ocorrer.
Nossa, mas quem vai querer uma porrada de janelas abertas? Isso atrapalha muito… O jeito é realmente ficar ligado =/
O problema aí é lembrar-se de deixar _cada site_ importante em uma janela diferente, e não um site importante em cada aba de uma janela diferenciada… Dá pra entender?
Mas como disse o Gilberto Lúcio: um monte de janelas, depois de livrar-nos do IE6 ninguém mais quer ver!
O.O
Que medo!
Não funciona no Chrome 6.0.408.1
é realmente não funciona no chrome 604081
eu uso e nada aconteceu!!!
Bota medo nisso! Vou começar a abrir menos abas!
Aguardem até os links de pishing virem com as URLs encurtadas, isso sim irá pegar muita gente.
Realmente eramos felizes e não sabiamos, tenso agora….
“eu era feliz e não sabia” [2]
O jeito é prestar muita atenção ou usar o Chrome, como o pessoal já divulgou aqui que é seguro, quanto a isso.
Ah, ou na hora que estiver fazendo coisas importantes, ficar direto na tarefa até terminar, e daí fechar a aba, evitando sempre deixar coisas importantes em abas secundárias. Além claro de estranhar a página inicial do Gmail de novo aberta, quando você _já abriu_ seu Gmail, por exemplo.
Minha senha é sempre preenchida automaticamente pelo gerenciador de senhas (Wand, no Opera, mas o Firefox e o Chrome também têm os seus), então eu provavelmente iria desconfiar caso eu tenha que digitá-la manualmente.
De qualquer forma, é um meio interessante de engenharia social.
Interessante. Acabei de testar e para eu, usando Chrome 5.0.375.55, mudou a página mas não o favicon. Não testei em outros browsers, e quero testar o Chrome 6 pra ver. Mas bem interessante isso!
o AVG free detectou a ameaça e bloqueou o aplicativo, consequentemente, nada aconteceu.
O antivírus AVG FREE, bloqueou o site e detectou a ameaça, agora sim senti firmeza no AVG uhehuehue, usem é muito bom
Bom, acabei de testar aqui no Chrome 5.0 e não aconteceu nada, e olha que passei uns 10min fora desta aba, e nada ocorreu no endereço.
Já no Firefox 3.5.9 vi a página mudar para o visual do Gmail, alterando inclusive o favicon.