Tabnabbing – jauna «phishing» tehnika

[samurajs]

[imgl]https://notepad.lv/userpix/28_panda_3.jpg[/imgl]Kā ziņo antivīrusu kompānija PandaLabs, interneta “melno darboņu” rīku klāsts papildinājies ar vēl vienu, kuram dots nosaukums “Tabnabbing”. Š ī pikšķerēšanas metode orientēta uz tiem interneta lietotājiem, kuriem ir paradums atvērt daudzos tabus pārlūkā, un tad par tiem uz ilgāku laiku aizmirst.

Darbības princips nav sarežģīts: krāpnieks izmanto JavaScript, lai noteiktu vajadzīgās lapas klātbūtni pārlūkā, un pārliecinātos, ka tā patlaban ir atvērta fonā, bet netiek skatīta. Tad lapa tiek operatīvi nomainīta pret vizuāli identisku klonu, ieskaitot favicon un līdzīgu nosaukumu. Pieņemsim, ka šī lapa ir GMail. Lietotājs vēlāk atgriežas pie Email lapas ar domu pārbaudīt, vai nav pienācis jauns pasts. Protams, viņam tagad jālogojas par jaunu, un šoreiz krāpnieku lapā. Bet tas parasti aizdomas neizraisa – varbūt beidzies sesijas laiks? Līdz ar to GMail lietotājvārds un parole jau ir krāpnieku datubāzē, un ar to viņi var rīkoties pēc ieskatiem.

Avots

[Wuu]

Iespaidīgi! Ko tik neizdomā.

[bladez]

Nesapratu, kur tad ir ievainojums? Svešās web-lapās? Sanāk ka ieejot vienā lapā, lapa spēj aizvērt vienu manu tabu un viņu atvērt no jauna? Tad jau aizliegt šādu fīču browseros un viss cauri….

Bet ja tas ir dēļ kkāda vīrusa kompī, kāda jēga censties? Keyloggers un viss…..

[Crow]

Tieši kādā veidā ar JavaShit var noteikt, vai ir atvērta tāda vai cita lapa tajā pašā browsera instancē?

Ja tāda iespēja ir, tad ne tikai caurums ir jālāpa, bet arī jāpakar aiz pautiem (vai jātiesā pēc panta par apzinātu nolaidību) tie, kas šo iespēju tur izveidoja.

[Wuu]

Crow wrote:

Tieši kādā veidā ar JavaShit var noteikt, vai ir atvērta tāda vai cita lapa tajā pašā browsera instancē?

Ja tāda iespēja ir, tad ne tikai caurums ir jālāpa, bet arī jāpakar aiz pautiem (vai jātiesā pēc panta par apzinātu nolaidību) tie, kas šo iespēju tur izveidoja.

Piemēram onMouseover uzliec pa virsu kādu 5 neredzamus divus un pārbaudi vai pele tiek kustināta 🙂 Var arī pārbaudīti scrolla atrašanās vietu. Cik ilgi tas stāv uz vietas.

[root]

Crow šo eksploitu izdarīt ir kā divus pirkstus apmīzt iefiltrējot badcode kādā pluginā, vienalga chromes vai ff. Tālākais jau ir kaut kur veiksmīgi ieslēptu 10 rindiņu koda darbs. Š odien notestēšu kā tas reāli darbojas uz Chrome pluginu platformas.

[Aldis]

Man šķiet ka darbojas uz visiem browseriem. JS iedrukā ka 10 minūtes lapa netiek kustināta, redirect uz gmail klona lapu. Vienīgais neskaidrība ar adresi, tā nav gmail.com, bet gan piemēram tavalapa.com/gmail/ 😀 Nu bet iespējams lietotājs tajā ātrumā, un savā mazajā saprašanā neieraudzīs.

Ja nemaldos ar ko līdzīgu saskāros, ka man atvērās no-ip servisa pirmā lapa. 😀 Kas nebij orģināls. =] Un LV izplatīts šis varētu būt ar draugiem.lv sākumlapu.

[Crow]

Ok, es tagad lūru kaitīgo pr0n lapeli, kurā ir šis kaitēklis un backgroundā man ir džīmeils. Kā kaitēklis vispār uzzin, ka man vaļā ir džīmeils? Paskaidrojiet man lūdzami precīzāk, niecīgajam. Es enīvej nesaprotu, kā šis skriptelis var (un kāpēc drīkst) izošņāt, kādas lapas esmu atvēris citos tabos.

[img]https://bildites.lv/images/50lpffnu4ek7n8vtcll.gif[/img]

Okei, ja kkāds buffer overflow exploits konkrētam browserim, tad savādāk. Enīvej nedalec īsti, šodien piegdiena kā nekā 😀

[bumbulis]

Tiešā tā. Nekorekts avots, jeb tulkojums. 🙂

[samurajs]

Te vēl var palasīt, bet sīkāk darbības mehānisms arī nav aprakstīts. Protams, ka papriekš jāiebaro kāda kaitīgā programmatūra, lai dotās darbības varētu veikt.

https://www.3dnews.ru/software-news/Tabnabbing—novaya-fishing-tehnika-dlya-krazhi-dannih/

[etoins]

viss skaidrs, naivs lietotājs atver kādu kārdinošu porno lapu ja šī lapa netiek kustināta tā pārtop par kaut ko līdzīgu GMail naivais lietotājs pamanījis to uzskata to par likteņa zīmi un ievada savu paroli, loginu utt.

Hakeris priecājas, lietotājs raud.

No šejienes morāle ka vajag atslēgt nepazīstamās lapās JavaScript

Laikam ļoti jāpacenšas lai uz kaut ko tādu uzķertos.

[Toggo]

Ļoti sarežģīti, bet tomēr laba ideja pats nebiju iedomājies!

p.s. ĻOOTI sarežģīti!

[shb-]

Crow wrote:

Ok, es tagad lūru kaitīgo pr0n lapeli, kurā ir šis kaitēklis un backgroundā man ir džīmeils. Kā kaitēklis vispār uzzin, ka man vaļā ir džīmeils? Paskaidrojiet man lūdzami precīzāk, niecīgajam. Es enīvej nesaprotu, kā šis skriptelis var (un kāpēc drīkst) izošņāt, kādas lapas esmu atvēris citos tabos.

[img]https://bildites.lv/images/50lpffnu4ek7n8vtcll.gif[/img]

Okei, ja kkāds buffer overflow exploits konkrētam browserim, tad savādāk. Enīvej nedalec īsti, šodien piegdiena kā nekā 😀

Nevar, nevar ar JS pačekot, kas notiek konkrētajā pārlūka instancē (tb tās tabos). Vismaz tāda fīča nav @js api, un arī par tādu exploitu nav dzirdēts. Kaitniekam atliek vien minēt. Cik skatos, tu prasi par šo, a tev stāsta, kā nočekot, vai lietotājs skatās lapu (t.i. – vai ļaundabīgās lapas atvērums ir pamests novārtus un var nemanīti nomainīt savu izskatu) : ). Piektdiena nav tev, bet citiem : DD.

[Autors]

Ieraksti