Um novo dia, um novo meio de ataque na internet. O mais atual, que ganhou o termo tabnabbing, usa uma função comum em navegadores hoje em dia, a habilidade de abrir páginas em abas, combinada com a distração dos usuários. De acordo com o criador do termo, Aza Raskin (que também é líder criativo do desenvolvimento do Firefox), o ataque constitui em detectar quando a aba foi tirada de foco, mudar o que é mostrado nela e fingir ser outro site, como a tela de login do Gmail ou de um banco.


A parte assustadora vem agora: é possível fazer tudo isso usando apenas um código Javascript. Esse hack dá certo no Firefox, Chrome e parcialmente nos navegadores IE7, IE8 e na versão para Mac do Safari, sendo que nesses três últimos o favicon não é alterado. Quer ver como ele funciona? Acesse esse link do texto de Raskin explicando o ataque, mude de aba por um tempo e volte. A tela é assustadoramente similar e se não fosse a URL denunciando o site, posso apostar que muita gente colocaria o login e senha das suas contas.

Eu não sei quanto aos leitores do TB, mas eu gostava da época em que os ataques de phishing chegavam apenas via email e não se escondiam em páginas esperando a mudança de aba para atacar. Eu era feliz e não sabia. =P

Com informações: Ajaxian, DownloadSquad | Dica do nosso developer 1001 utilidades, Leandro Alonso (@leandrow).

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

al_maia
Bom, acabei de testar aqui no Chrome 5.0 e não aconteceu nada, e olha que passei uns 10min fora desta aba, e nada ocorreu no endereço. Já no Firefox 3.5.9 vi a página mudar para o visual do Gmail, alterando inclusive o favicon.
IGor
O antivírus AVG FREE, bloqueou o site e detectou a ameaça, agora sim senti firmeza no AVG uhehuehue, usem é muito bom :)
Ronaldo
o AVG free detectou a ameaça e bloqueou o aplicativo, consequentemente, nada aconteceu.
Anderson Silva
Interessante. Acabei de testar e para eu, usando Chrome 5.0.375.55, mudou a página mas não o favicon. Não testei em outros browsers, e quero testar o Chrome 6 pra ver. Mas bem interessante isso!
Danillo Nunes
Minha senha é sempre preenchida automaticamente pelo gerenciador de senhas (Wand, no Opera, mas o Firefox e o Chrome também têm os seus), então eu provavelmente iria desconfiar caso eu tenha que digitá-la manualmente. De qualquer forma, é um meio interessante de engenharia social.
al_maia
O jeito é prestar muita atenção ou usar o Chrome, como o pessoal já divulgou aqui que é seguro, quanto a isso. Ah, ou na hora que estiver fazendo coisas importantes, ficar direto na tarefa até terminar, e daí fechar a aba, evitando sempre deixar coisas importantes em abas secundárias. Além claro de estranhar a página inicial do Gmail de novo aberta, quando você _já abriu_ seu Gmail, por exemplo.
al_maia
O problema aí é lembrar-se de deixar _cada site_ importante em uma janela diferente, e não um site importante em cada aba de uma janela diferenciada... Dá pra entender? Mas como disse o Gilberto Lúcio: um monte de janelas, depois de livrar-nos do IE6 ninguém mais quer ver!
@nirthaky
"eu era feliz e não sabia" [2]
pH
Realmente eramos felizes e não sabiamos, tenso agora....
Hernani
Aguardem até os links de pishing virem com as URLs encurtadas, isso sim irá pegar muita gente.
Fabiano
Bota medo nisso! Vou começar a abrir menos abas!
walter
é realmente não funciona no chrome 604081 eu uso e nada aconteceu!!!
Gilberto Lúcio
Nossa, mas quem vai querer uma porrada de janelas abertas? Isso atrapalha muito... O jeito é realmente ficar ligado =/
Rafael
É só não entrar em muito pornô ou sites que oferecem cracks e seriais.
@Athosbr99
Não funciona no Chrome 6.0.408.1
Exibir mais comentários