Il Tabnabbing (tecniche di phishing avanzato)

Il Web cresce con i tempi mostrando sempre più quanto la società moderna necessiti di queste innovazioni tecnologiche, questo fa si che anche la parte indesiderata, ma che ne fa comunque parte, si adatti allo sviluppo sfoggiando nuove idee e meccanismi per approfittare della situazione. La sicurezza in rete ha un ruolo sempre più determinante in tutto questo, visto che le vulnerabilità sono rese note quotidianamente ed ad ogni nuova iniziativa. Abbiamo già la consapevolezza della miriade di pericoli nascosti o meno nella rete, i vari Trojan, Worm, malware in genere, cosi come varie tecniche ingannevoli che hanno tutte un solo scopo, quello di impadronirsi dei dati degli utenti per farne un uso illegale se non per compere vere e proprie "rapine" ai danni dei consumatori più ignari. Questo però negli ultimi anni si è sempre più espresso agli utenti, vuoi per le migliaia di vittime e denunce che ne rivelano trucchi e vulnerabilità tanto che per gli addetti ai lavori sulla sicurezza che ne hanna fatto degli studi una vera e propria scienza con tanto di banco di lavoro e laboratori per test. Certo, in futuro le cose andranno via via migliornado (lo si spera) ma intanto ne dobbiamo quotidianamente considerare altrettante, nate purtroppo da una base debole sotto questo punto di vista e spesso trascurata per gli eventi futuri. Le maggiori vulnerabilità note e prese di mira sono ormai da tempo conosciute e si è fatto poco o nulla per limitarne i danni, certo, la prevenzione, informazione e gli aggiornamenti cercano di tamponare quanto più possibile, ma è veramente difficile tenere sotto controllo qualcosa che è più grande delle nostre stesse risorse e cresce a dismisura. Più di una volta ho cercato di esprimere il mio punto di vista, in tanti hanno a sua volta espresso lo stesso problema e miravano alla stessa soluzione, certo, non è pratico dover superare un esame ed avere un riconoscimento per poter navigare in rete, forse tutti interpreterebbero la cosa come uno speculo o mirata solamente per far arricchire qualcuno se non vista come una nuova "tassa" camuffata, ma non è nulla di ciò, anzi, sicuramente se ne trarrebbe qualcosa di buono, un informazione, istruzioni o quanto altro per non farci cadere nelle trappole o almeno essere preparati. Sono certo che tanti non condividono tutto questo, si vuol dire che comperando un computer e pagando un abbonamento ad Internet siamo liberi di navigare quanto ci pare, certo, sono con voi, ma essere informati e saperne di più potrebbe essere di aiuto a tanti. Adesso veniamo al TABNABBING. Il Web 2, l'avanzamento del nuovo, non esclude i pericoli che invece si adattano alle nuove tecnologie, anzi, nonostante sia stato fatto qualcosa precedentemente riguardo alle varie tecniche di Phishing utilizzando nuovi browser che ignorano la presenza del tag meta refresh di cui un abuso è stato fatto dagli spammer o chi promoveva siti di phishing, tanto che i motori di ricerca si rifiutano di redirigere su chi contiene ancora questi tag, ecco che si evolve anche la tecnica del phishing, conosciuta come tabnabbing, la quale possiamo comunemente definirla tecnica di phishing avanzata. Per funzionare necessita del javascript, quindi già disabilitando nel browser avascript non se ne conseguono pericoli, ma chi disabilita javascript oggi giorno? Ecco quindi che l'informazione faccia notare agli utenti questi conosciuti bug nella speranza che si adottino contromisure, ci sia più attenzione e presenza in ciò che facciamo, si, presenza in quanto un complice dell'ottimo funzionamento del tabnabbing è proprio la distrazione dell'utente o nel prestare poca attenzione ad alcuni particolari. Il funzionamento del tabnabbing infatti approfitta della confusione nel browser, le varie schede aperte ed il focus di queste, quando si apre una pagina contenente questa trappola basterà saltare per qualche secondo ad un altra scheda per poi ritrovarsi una nuova interfaccia a noi nota, eseguendo quindi l'accesso perchè si pensa sia scaduta la sessione, veniamo fregati. Mi sono spiegato bene? volete conoscerne i termini esatti e il funzionamento preciso? Sicuramente ne saprete quanto adesso.... ma mi è venuta un idea migliore, un test da fare e il codice javascript in questione. Allora, per vedere con i vostri occhi quanto succede e cosa succede fate questa prova, aprite un browser e più schede di navigazione, in una di queste schede aprite questo sito qui: http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/ vedete che tratta l'argomento, un sito in inglese che descrive questa ed altre tecniche. Andate adesso nelle altre schede navigando dove volete, dopo qualche secondo vedete che il sito di prima è scomparso, adesso avete la pagina di accesso al vostro account di posta Gmail, visto come e cosa succede? Il procedimento è in tempo reale, la trasformazione delle icone presenti, tutto appare come nel sito originale. In questi frangenti basta aggiungere un vostro ragionamento di sessione scaduta, inserire i dati a fare login che ne sarete vittime, quando lo farete verrete in seguito ridirezionati veramente nel vostro account di posta per non destare sospetti, ma ormai vittime di questo javascript infernale. Sperando di essere stato chiaro vi lascio il link del codice javascript in uso sullo stesso sito qui: http://www.azarask.in/projects/bgattack.js per analizzarlo. Adesso sapete che esiste una tecnica di phishing molto avanzata e che si adopera nella confusione delle schede dove l'utente distratto ed ignaro cade vittima.