Google

Tabnabbing: Um novo tipo de ataque de phishing

A web é um lugar selvagem e generativo. Por vezes acho que perdi a minha vocação, sendo desonesto é tão divertido. É pena que os meus pais trouxeram-me ao mundo com escrúpulos.

A maioria dos ataques de phishing dependem de uma decepção inicial. Se vocês detectarem que estão numa URL errada, ou que algo está errado numa página, há uma grande probabilidade de um ataque. Vocês escaparam dos atacantes? Na verdade, o tempo que as pessoas a estarem mais cautelosas é exactamente no momento em que tiverem de navegar para outro site.

O que não esperamos é que a página que estávamos a ver, vai mudar nas nossas costas ou seja, quando não estamos a vê-la. E isso pode vir a apanhar-nos de surpresa.

Como funciona o ataque

1. Um utilizador que navega no seu site normal à procura de determinada informação.
2. Vocês detectaram que a página perdeu o seu foco e não interagiu durante algum tempo.
3. Substitui o favicon com o favicon do Gmail, com o título "Gmail: E-mail do Google", e a página de login do Gmail é exactamente igual. Isto tudo pode ser feito com um pouco de Javascript e ocorre instantaneamente.
4. Como os utilizadores verificam as muitas abas abertas, o favicon age como um título de memória visual forte sugestão é maleável e moldável, e o utilizador será mais provável enganado, simplesmente porque por exemplo deixou uma aba do Gmail aberta. Quando clicarem de volta para a aba do Gmail falsa, veem a página de login padrão do Gmail. Suponha que momentaneamente foram desligados, e fornecem as vossas credenciais para entrar.
5. Depois que o utilizador tenha digitado as suas informações de login e enviadas de volta para seu servidor, os redireccionará para o Gmail. Porque em primeoro lugar eles nunca foram registados no primeiro lugar correcto, mas aparecerá como se o login foi bem sucedido.

Ataques direccionados
Há muitas maneiras de potencializar a eficácia do ataque.

Usando o CSS history miner vocês podem detectar qual o site que o visitante usa e depois atacar o site (embora isto mais seja possível em versões beta do Firefox). Por exemplo, podem detectar se o visitante for um utilizador do Facebook, utilizador Citibank, utilizador do Twitter, etc, e depois alternar a página para a página de login e adequado favicon.

Existem vários métodos para saber se um utilizador está ligado a um determinado serviço. Estes métodos variam desde os ataques quando carregam uma imagem, até para ver onde os erros ocorrem quando vocês carregam uma página HTML numa tag script. Para depois de saberem quais os serviços que o utilizador está no momento a utilizar fazendo com que o ataque se torne ainda mais credível, e eficaz.

Podemos fazer este ataque ainda mais eficaz, alterando conforme o exemplo: em vez de ter apenas uma página de login, podem mencionar que a sessão foi cancelada, e o utilizador precisa re-autenticar. Isto acontece muitas vezes em sites bancários, o que os torna ainda mais susceptíveis a este tipo de ataque.

Ataque Vector

Todas as vezes que incluírem um script de terceiros nas vossas páginas, ou um widget em Flash, deixam-nas aberta para um malfeitor usar o vosso seu site como uma plataforma para este tipo de ataque. Se forem vocês o malfeitor, podem ter este tipo de comportamento, porque só ocorre de vez em quando, e somente se o utilizador usa um serviço de destino. Por outras palavras, poderia ser difícil de detectar.

Vocês podem também usar cross-site scripting vulnerabilities para forçar o ataque seja realizado por outros sites. E para browsers que não suportam a alteração do favicon, podem usar um location.assign chamada para navegar na página a um domínio controlado com o favicon correcto. Contanto que o utilizador não estava olhar quando ocorreu a actualização, eles não têm nenhuma idéia o que os atingiu. Combine isso com Unicode domain names e até mesmo um utilizador mais experiente vai ter dificuldade para detectar que há alguma coisa errada.


Teste aqui: http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/

Fontes: http://pc-hacker.blogspot.com e http://www.azarask.in/blog


0 Response to "Tabnabbing: Um novo tipo de ataque de phishing"