Questa che vi andrò a proporre è un tecnica di phishing attack chiamata tabnapping, che consiste nello sfruttamento del multitasking del nostro browser, cioè l'uso di più tab insieme.
Chi di noi, che amiamo stare al computer oppure ci dobbiamo stare per lavoro, non ha almeno 3-4 tab aperti insieme? Una cosa a dir poco fantastica che ci permette di svolgere più cose contemporaneamente. Purtroppo però tutto ciò che è fantastico prima o poi viene rovinato, e questo a causa dei nostri browser. Questa tecnica è allo stesso tempo semplice e geniale, e si interseca in un misto di social engineering e web script coding.
L'exploit allo stato brado (per fortuna) è disponibile tramite il proof-of-concept, su questo sito: Azarask.
Là potrete trovare sia l'exploit in una forma innocua, sia una dimostrazione di esso; infatti se provate ad aprire il sito che vi ho linkato e tornare qua sul mio blog, dopo 5 secondi avrete una bella sorpresina.
Questo exploit è stato pensato per ingannare la vittima, che aprendo il link e girando per i tab, si troverà un bel fake login, ma sta volta con un tab del tutto simile a quello della pagina originale e non è tutto, infatti, un uso ancora migliore di questa tecnica è dato dal fatto che, più generalmente, la pagina cambia, semplicemente quando perde il focus (cioè se andate sul desktop e tornate, la pagina sarà cambiata).
Questa particolarità è a parer mio, molto più interessante della prima, soprattutto a livello psicologico, in quanto, se stiamo navigando nel browser, chi più, chi meno, abbiamo un controllo abbastanza buono dei tab aperti, ma se noi stiamo usando un software esterno al browser, il nostro controllo sui tab diminuisce di gran lunga.
Nel video che potete vedere alla fine di questo articolo, viene illustrato ciò a cui si può facilmente arrivare tramite il codice che viene dato nel proof-of-concept. Ovviamente la pagina è stata cancellata, per evitare che i lamer sguazzassero nella loro ignoranza.
Uno degli usi più efficaci è la possibilità di unirla facilmente ad ad un ulteriore vulnerabilità che abbiamo già affrontato, approssimativamente, in qualche scorso articolo: il cross-site-scripting, o meglio XSS. E' facile, quindi, intuire il come injectarla in una pagina buggata da un xss permanente.
Termino questo articolo ricordandovi l'unico metodo che può tenervi lontano da questo tipo di phishing: GUARDATE L'URL PRIMA DI METTERE I VOSTRI DATI DI ACCESSO.
Nessun commento:
Posta un commento