Spy Blog News

Dopo neologismi come pharming, vishing, clickjacking e slurping, un nuovo termine si sta facendo strada nel mondo dei potenziali attacchi informatici: tabnabbing (letteralmente “acchiappa tab”, in questo caso intese come schede del browser).

Il termine tabnabbing è stato introdotto per la prima volta in un blog postato da Aza Raskin, guida creativa di Firefox, uno dei browser più utilizzati nel mondo. Di cosa si tratta? Utilizzando un qualsiasi browser (perché non è il solo Firefox ad essere vulnerabile), l’utente può essere indotto ad accedere, senza accorgersene, a una pagina web sulla quale è stato attivato un attacco di tipo tabnabbing. Appena l’utente passa a un’altra scheda del browser o a un’altra applicazione, uno script java sostituisce l'icona della pagina web (l’immagine favicon.ico), cambia il titolo della scheda del browser e modifica il contenuto della pagina.

In questo modo, quando l’utente torna alla pagina da cui era partito (che nel frattempo è però cambiata) può facilmente essere tratto in inganno e portato a eseguire azioni che possono rivelare importanti informazioni personali, per esempio quelle di accesso a una risorsa web protetta.

La novità di questo attacco, e quindi il grave pericolo, è che non cerca di trarre in inganno l’utente presentandogli una pagina web contraffatta come prima azione; al contrario, sostituisce la pagina web originale con quella contraffatta - e la corrispondente scheda del browser - quando l'utente è occupato altrove. Si tratta di una modalità molto più sofisticata perché punta sul fatto che l’utente non si aspetta questo tipo di attacco e non pone particolare attenzione nel verificare l’indirizzo della pagina quando vi torna.

Ci sono molti modi per verificare se e quando l’utente ha effettuato il log in particolari siti web. Visualizzando false informazioni di accesso con la tecnica sopra descritta, l'aggressore può indurre l’utente a inserire nuovamente la sua login utilizzando poi queste informazioni per ulteriore utilizzi disonesti avvalendosi delle informazioni inserite per la connessione originaria. L’unica cosa di cui si accorge l’utente è semplicemente di aver avuto un logout inaspettato (cosa che a volte accade anche se non si verifica alcun attacco).

L'hacker può quindi tranquillamente utilizzare le credenziali ottenute per eseguire qualsiasi tipo di azione non autorizzata, che potrebbe essere di qualunque tipo.

L'attacco può essere ulteriormente raffinato “personalizzandolo” su un particolare gruppo di utenti che l’hacker sa essere utenti di una particolare applicazione come, per esempio, una pagina di accesso all’Intranet aziendale. Potenziali vittime potrebbero anche essere gruppi di utenti che utilizzano tutti la stessa banca online.