La web es un lugar de generación y silvestres. A veces pienso que me perdí mi vocación, ser desviados es muy divertido. Lástima que mis padres me criaron con escrúpulos.
La mayoría de los ataques de phishing dependen de un engaño original. Si detecta que usted está en la dirección equivocada, o que algo anda mal en una página, la persecución ha terminado. Usted se ha librado de los atacantes. De hecho, el tiempo que las personas se muestran más reacias a desconfiar es precisamente cuando por primera vez vaya a un sitio.
Lo que no esperan es que una página que hemos estado mirando cambiará a nuestras espaldas, cuando no estamos mirando. Eso va a cogernos por sorpresa.
¿Cómo Funciona El ataque
- Un usuario navega a su sitio web de aspecto normal.
- Usted detectar cuando la página ha perdido su foco y no se ha interactuado con por un tiempo.
- Vuelva a colocar el favicon con el favicon de Gmail, el título por "Gmail: Correo electrónico de Google", y la página de acceso a Gmail con un mirar-uno-como. Todo esto se puede hacer con un poco de Javascript que se realiza instantáneamente.
- A medida que el usuario escanea sus pestañas abiertas muchas, el favicon y actuar como un título fuerte señal visual de memoria es maleable y moldeable y el usuario lo más probable es simplemente piensan que dejó una pestaña de Gmail abierta. Al hacer clic de nuevo a la pestaña de Gmail falsos, verán la página estándar de Gmail entrada, suponga que han cerrado la sesión, y proporcionar sus credenciales para iniciar sesión pulg Las presas ataque a la inmutabilidad percibida de pestañas.
- Después de que el usuario introduzca su información de acceso y usted lo ha enviado de nuevo a su servidor, hacerlos volver a Gmail. Debido a que nunca fueron registrados en el primer lugar, aparecerá como si la entrada se ha publicado correctamente.
Llamaremos a este nuevo tipo de ataque de phishing " tabnabbing ".
Ataques dirigidos
Hay muchas maneras de mejorar potencialmente la eficacia de este ataque.
Usando mi historia minera de CSS se puede detectar que el sitio utiliza un visitante y luego atacar ese sitio (aunque esto es ya no es posible en versiones beta de Firefox). Por ejemplo, puede detectar si un visitante es un usuario de Facebook, el usuario Citibank, usuario de Twitter, etc, y luego cambiar la página a la pantalla de acceso adecuado y favicon en la demanda.
[*] Pensar buscando el error exacto produce cuando <script incrustación src="http://gmail.com"/> será diferente dependiendo de si el usuario está conectado o desconectado.
Aún más sinuosamente, existen varios métodos para saber si un usuario no está conectado a un servicio. Estos métodos van desde ataques puntuales en las cargas de la imagen, a ver si se producen errores al cargar una página HTML en una etiqueta script *. Una vez que sepas cuáles son los servicios que un usuario está conectado en que, el ataque se vuelve aún más eficaz.
Usted puede hacer que este ataque sea aún más eficaz mediante el cambio de la copia: En lugar de tener sólo una pantalla de conexión, se puede mencionar que la sesión ha caducado y el usuario tiene que volver a autenticarse. Esto sucede a menudo en las páginas web del banco, que los hace aún más susceptibles a este tipo de ataque.
Ataque vectoriales
Cada vez que usted incluye una secuencia de comandos de terceros en su página, o un widget Flash, déjate abiertas para un malhechor para utilizar su sitio web como una plataforma para este tipo de ataque. Si usted es el hacedor del mal, puede hacer que este comportamiento sólo se producen de vez en cuando, y sólo si el usuario utiliza un servicio orientado. En otras palabras, podría ser difícil de detectar.
También puede utilizar un -site scripting vulnerabilidades cross a la fuerza del ataque para ser realizadas por otros sitios web. Y para los navegadores que no admiten cambiar el favicon, puede utilizar un location.assign llamada a navegar por la página a un dominio controlado con el favicon correcto. Mientras el usuario no estaba mirando a la pestaña cuando se produjo la actualización (que no lo será), ellos no tienen idea de lo que les golpeó. Combine esto con imitaciones de nombres de dominio Unicode e incluso el usuario más experto tendrá problemas para detectar cualquier cosa va mal.
Pruébelo
Puedes probarlo en este mismo sitio web (sólo lo he probado en Firefox). Haga clic fuera a otra ficha de al menos cinco segundos. Voltear a otra ficha. Haga lo que sea. Luego regresa a esta ficha.
Es difícil de encontrar, ¿no? Se ve exactamente como Gmail. Me dio pereza y tomó una captura de pantalla de Gmail, que se carga lentamente. Sería mejor para volver a crear la página en HTML.
Actualización: Muchas personas han informado de que el ataque no cambia el favicon en Chrome. Esto se debió a un error en Chrome , que se ha solucionado en la versión 6.0.408.1 . Chrome es completamente susceptible a este ataque.
Puede obtener el código fuente aquí: bgattack.js .
La solución
Este tipo de ataque una vez más demuestra la importancia de nuestro trabajo está en la cuenta de Administrador de Firefox para mantener a nuestros usuarios a salvo. Los nombres de usuario y las contraseñas no son un método seguro de hacer la autenticación, es hora de que el navegador para que asuma un papel más activo en ser su agente de usuario inteligente, que sabe quién es usted y mantiene su identidad, información y credenciales.
No relacionados con puestos.
"
No hay comentarios:
Publicar un comentario