Il phishing agisce tramite le schede mutanti dei moderni browser

Phishing
luglio 5, 2010 0

Il phishing, ovvero il furto di password e codici di accesso soprattutto ai servizi bancari, agisce solitamente attraverso un sito che simula graficamente la pagina web della vostra banca e vi invita ad inserire i codici di accesso, che saranno trafugati ed utilizzati a vostro danno.

Da poco tempo a questa parte però, è cambiato il metodo di furto delle chiavi d’accesso, o meglio, si è evoluto. vediamo in modo più approfondito per capire come difendersi.

immagine banca phishing

Gli attacchi email sembrano costretti a dover diventare un ricordo

Fino ad oggi il phishing si è basato su una tecnica classica: si riceve una finta email dalla banca con un link al sito; l’utente dopo aver letto l’email, clicca sul link e approda su una pagina web dai contenuti identici a quelli della banca, ma gestita dal malintenzionato. Il gioco è fatto: l’utente, tratto in inganno dalla grafica, inserisce i codici di accesso che poi arriveranno nelle mani dell’agressore.

La nuova tecnica invece è chiamata tabnabbing o tabjacking, e sfrutta una funzionalità dei moderni browser: la possibilità di aprire i siti in schede diverse, anzichè in più pagine, i tab.

Con il tabnabbing la vittima viene invitata a cliccare su un link, ricevuto tramite email o trovato in qualche altro modo su internet, e viene aperta una pagina insospettabile, diversa a quella della banca e non contenente richieste di password, anzi il suo contenuto risulta persino interessante.

In questo modo l’utente non viene messo in allarme e non chiude la scheda, ma magari passa ad un altro tab, per leggerlo più tardi. E proprio quando la pagina non viene vista che il tab si trasforma cambiando icona e contenuto, diventando simile in tutto e per tutto alla pagina di accesso ad un servizio sensibile, come quello di una banca.

La tecnica del tabnabbing è senza dubbio più vantaggiosa, dopo alcuni minuti la vittima non immaginerà di trovarsi su un sito-fake, ma di visitare la pagina web della propria banca aperta in precedenza. La truffa viene portata a termine senza che l’utente possa accorgersene, perché l’aggressore, nello stesso momento in cui l’utente li inserisce, invia i codici di accesso alla vera pagina di accesso e vi trasferisce l’utente

Un video ci mostra l’attacco

Se volete evitare questi nuovi modi di attaccare, dovete stare molto attenti quando accedete al sito della vostra banca, aprendo sempre un nuovo tab, scongiurando la possibilità di riscontrare un tabnabbing.

Articoli correlati:

  1. Falla di sicurezza in Adobe Acrobat Reader: Pc infettati via browser tramite PDF
  2. Cos’e’ il Phishing.
  3. Che banca: anche lei vittima del phishing.

Lascia un commento