La plupart d'entre vous sont au courant Phishing, lorsqu'un processus frauduleux est initié dans le but d'acquérir des informations sensibles telles que des mots de passe et des détails de carte de crédit, en se présentant comme une entité légitime. Mais que se passe-t-il si vous êtes sur une page légitime et que la page que vous avez consultée modifie une page frauduleuse une fois que vous avez visité un autre onglet? C'est appelé Tabnabbing!
Comment fonctionne Tabnabbing
- Vous naviguez vers un site Web authentique.
- Vous ouvrez un autre onglet et naviguez sur l'autre site.
- Au bout d'un moment, vous revenez au premier onglet.
- Vous êtes accueilli avec des informations de connexion fraîches, peut-être sur votre compte Gmail.
- Vous vous reconnectez sans vous douter que la page, y compris la favicon, a réellement changé derrière votre dos!
Tout cela peut être fait avec juste un peu de JavaScript qui se déroule instantanément. Au fur et à mesure que l'utilisateur analyse leurs nombreux onglets ouverts, la favicon et le titre agissent comme un puissant repère visuel: la mémoire est malléable et moulable, et l'utilisateur pensera probablement simplement qu'ils ont laissé un onglet Gmail ouvert. Lorsqu'ils cliquent sur le faux onglet Gmail, ils voient la page de connexion standard de Gmail, supposent qu'ils ont été déconnectés et fournissent leurs informations d'identification pour se connecter.
L'attaque s'attaque à la perception de l'immuabilité des onglets. Une fois que l'utilisateur a entré ses informations de connexion et que vous les avez renvoyées à votre serveur, vous les redirigez vers Gmail. Parce qu'ils n'ont jamais été déconnectés, il semblera que la connexion a réussi.
Vous visitez une page Web, vous passez à un autre onglet et derrière votre dos, votre première page aura changé!
Tabnabbing inversé
L'attaquant utilise la tabulation inversée window.opener.location.assign () pour remplacer l'onglet en arrière-plan par un document malveillant. Bien sûr, cette action modifie également la barre d'adresse de l'onglet Arrière-plan, mais l'attaquant espère que la victime sera moins attentive et entrera aveuglément son mot de passe ou d'autres informations sensibles lors du retour à la tâche en arrière-plan, a déclaré Google.
Une solution serait que tous les propriétaires de sites utilisent le tag suivant:
target='_blank' rel='noopener noreferrer'
Pour empêcher l'exploitation de cette vulnérabilité, WordPress a commencé à ajouter automatiquement les balises noopener noreferrer.
Maintenant, jetez un coup d'œil aux arnaques Spear Phishing, Whaling, Vishing and Smishing.