- PVSM.RU - https://www.pvsm.ru -
Последние три дня примечательны тем, что в сеть попали три больших базы аккаунтов пользователей почты Яндекса [1], Mail.ru [2] и Gmail [3].
Многие пользователи хабра, равно как и других тематических ресурсов по вопросам безопасности, сходятся во мнении, что аккаунты, вероятнее всего, попали в базы либо в результате заражения компьютеров пользователей «троянами», либо же в результате фишинговых атак.
На волне этих горячих обсуждений хотел бы рассказать об одном из красивых способов похищения данных пользователя, достаточно старом, но до сих пор актуальном, о котором на хабре как-то не писали.
В 2010 году Аза Раскин [4], сын Джефа Раскина [5], поделился в своем блоге очень интересным, как мне кажется, методом фишинга, который он назвал Tabnabbing.
1. Атакующий привлекает пользователя на страницу своего сайта, которая выглядит абсолютно нормальной и такой, какой пользователь ожидает её увидеть.
2. Атакующий определяет, что пользователь длительное время не взаимодействовал со страницей, или вообще переключился на другую вкладку.
3. Пока страница неактивна – подменяется ее favicon на иконку сайта, под который она будет маскироваться.
4. Контент страницы меняется на контент фейковой формы логина сайта, под который она маскируется.
5. С определенной достаточно большой долей вероятности пользователь, вернувшись ко вкладке – не задумываясь, автоматически введет свои логин и пароль.
6. После перехвата данных авторизации – пользователя можно просто переадресовать на атакуемый сайт, ведь вероятнее всего он на нем уже авторизован и именно этого поведения он и будет ожидать.
Прототип кода, который отслеживает поведение пользователя может выглядеть как-то так:
window.onblur = function(){
TIMER = setTimeout(time_to_change, 5000);
}
window.onfocus = function(){
if(TIMER) clearTimeout(TIMER);
}
function time_to_change() {
if( HAS_SWITCHED == false ){
change_content();
change_title( "Gmail: Email from Google");
set_favicon("https://mail.google.com/favicon.ico");
HAS_SWITCHED = true;
}
}
То есть, сам перехват поведения пользователя – достаточно тривиален, и не замысловат. Далее, функция change_content() отвечает за создание новых элементов DOM-дерева, которые будут отображены поверх оригинального контента страницы.
Аза Раскин в своем посте, посвященному этой теме, реализовал пример [6] этого поведения, и если вы переключите вкладку с постом – вернувшись в нее вы получите скриншот страницы авторизации Gmail образца 2010 года.
В любом случае, хотелось бы напомнить – будьте предельно внимательны, это основа вашей безопасности в сети.
Автор: m0s
Источник [7]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/69320
Ссылки в тексте:
[1] Яндекса: http://habrahabr.ru/post/235949/
[2] Mail.ru: http://habrahabr.ru/post/236077/
[3] Gmail: http://habrahabr.ru/post/236283/
[4] Аза Раскин: https://ru.wikipedia.org/wiki/Раскин,_Аза
[5] Джефа Раскина: https://ru.wikipedia.org/wiki/Раскин,_Джеф
[6] реализовал пример: http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/
[7] Источник: http://habrahabr.ru/post/236387/
Нажмите здесь для печати.