“Tabnabbing” usa distração do usuário para roubar dados
Um novo dia, um novo meio de ataque na internet. O mais atual, que ganhou o termo tabnabbing, usa uma função comum em navegadores hoje em dia, a habilidade de abrir páginas em abas, combinada com a distração dos usuários. De acordo com o criador do termo, Aza Raskin (que também é líder criativo do desenvolvimento do Firefox), o ataque constitui em detectar quando a aba foi tirada de foco, mudar o que é mostrado nela e fingir ser outro site, como a tela de login do Gmail ou de um banco.
A parte assustadora vem agora: é possível fazer tudo isso usando apenas um código Javascript. Esse hack dá certo no Firefox, Chrome e parcialmente nos navegadores IE7, IE8 e na versão para Mac do Safari, sendo que nesses três últimos o favicon não é alterado. Quer ver como ele funciona? Acesse esse link do texto de Raskin explicando o ataque, mude de aba por um tempo e volte. A tela é assustadoramente similar e se não fosse a URL denunciando o site, posso apostar que muita gente colocaria o login e senha das suas contas.
Eu não sei quanto aos leitores do TB, mas eu gostava da época em que os ataques de phishing chegavam apenas via email e não se escondiam em páginas esperando a mudança de aba para atacar. Eu era feliz e não sabia. =P
Com informações: Ajaxian, DownloadSquad | Dica do nosso developer 1001 utilidades, Leandro Alonso (@leandrow).