image

Duivelse nieuwe phishingaanval gebruikt tabs

dinsdag 25 mei 2010, 16:17 door Redactie, 13 reacties

Firefox-ontwikkelaar Aza Raskin heeft een nieuwe phishingaanval uitgewerkt, die zo gemeen is dat zelfs ervaren internetgebruikers er de dupe van kunnen worden. De meeste phishingaanvallen zijn te herkennen aan de URL. Maar wat nu als een pagina al geopend is, de meeste gebruikers zullen niet verwachten dat die dan nog verandert.

De gebruiker bezoekt bijvoorbeeld een willekeurige website. Een script op de website kan detecteren als de focus is verdwenen en de pagina enige tijd niet meer is gebruikt. Vervolgens wordt het favicon met die van Gmail vervangen, wat ook geldt voor de titel en inhoud van de pagina. Hiervoor is een beetje JavaScript vereist, aldus Raskin.

Aanval
De gebruiker loopt door zijn geopende tabs heen, ziet de favicon en inlogpagina en denkt dat hij is uitgelogd. Vervolgens logt hij in en heeft de aanvaller zijn inloggegevens. Om het slachtoffer niets te laten vermoeden, wordt hij naar de echte Gmail pagina doorgestuurd, aangezien hij in de eerste plaats nooit was uitgelogd. De login lijkt daardoor gewoon te werken. De Firefox-ontwikkelaar noemt dit "tabnabbing."

Reacties (13)
25-05-2010, 16:32 door Preddie
Het werkt mooi, jammer dat de megabyte counter op de fake-site niet telt maar gewoon stilstaat. Als je niet goed oplet ben je zo het haasje met deze aanval.
25-05-2010, 16:36 door Knight Of The Post
Deze is wel goed vuil inderdaad!
25-05-2010, 16:53 door corbosman
Altijd de URL checken dus.
25-05-2010, 18:10 door KwukDuck
Zoals ik het begrijp moet je dus wel op een site zijn die geïnfecteed is met dit betreffende java script, op het moment dat je daar terecht komt moet er al een lampje gaan branden lijkt me.
Daarnaast, als ik naar www.nu.nl ga, en na een halve minuut staat die tab op gmail.com dan ga ik mij ook achter de oren krabben.
Afwachten hoe zeer dit gebruikt gaat worden...
25-05-2010, 19:02 door Anoniem
Hmm, best wel interessant. Alleen dat een tab switcht naar iets anders is voor mij al teken genoeg.
25-05-2010, 19:13 door D0rus
Jammer dat ik de auto-aanvul functie van mijn browser gebruik, zodra ik een gmail pagina zie zonder mijn info voor ingevuld weet ik dat het fout zit.
25-05-2010, 20:51 door Anoniem
eerlijk gezegd vind ik dit niet spectaculair. Ik kijk btw ook altijd naar de url, zelfs bij tabbing. Beetje fancy javascripting.
25-05-2010, 21:01 door Anoniem
No script blokkeert het gewoon!
25-05-2010, 23:59 door Anoniem
Ik dacht ff dat het iets boeiends was... maar dit is echt flauw
26-05-2010, 08:08 door Anoniem
Ik denk dat ik het ga testen met mijn familie op het familie-weblog.
Zeker dat ik een aantal accountgegevens krijg xD
26-05-2010, 13:05 door Skizmo
dit moet toch niet zo moeilijk weg te patchen zijn ?
28-05-2010, 09:34 door Anoniem
Als ik Fx start, dan openen er vanzelf een aantal pagina's waaronder gmail en deze heeft een vaste positie op de tabbalk.
Als er dus opeens een andere tab met een gmail label staat dan weet ik sowieso dat he foute boel moet zijn.
29-05-2010, 10:27 door Anoniem
"Ik dacht ff dat het iets boeiends was... maar dit is echt flauw"
Natuurlijk... phissing is gericht op de onwetendheid van de gebruiker/bezoeker. Dus een prima aanval.

Wel knap bedacht moet ik zeggen, vooral de history sniffing kan deze aanval succesvoller maken.
De beste manier dat dit zal worden toegepast is via een XSS (met een SSL verbinding, Gmail is via SSL).
SSL EV bied dan meer veiligheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.