Il taccuino di Armando Leotta Rotating Header Image

Tab-napping o tabnapping, un nuovo phishing exploit

Tra le tante cose viste, dette ed affrontate in tavole rotonde al Security Summit di ieri a Roma una in particolare mi ha colpito per la semplice genialità.

E quando si parla di tecniche di social engineering e/o di phishing la semplicità è un elemento essenziale affinchè l’attacco vada ahimè a buon fine.

Questo nuovo exploit è stato battezzato “Tab-napping” ed è un cocktail micidiale i cui ingredienti sono javascript, social engineering e browser permissivi.

Cos’è e come funziona

E’ un javascript che viene caricato all’interno di una pagina web apparentemente lecita ed innocua.

In realtà, è innocua finchè non viene cambiato il focus ad esempio aprendo una nuova tab e rendendola attiva.

A questo punto, parte un timer che dopo x secondi “trasforma” la pagina con il codice malevolo con una pagina fake recentemente visitata della quale sono appetibili le credenziali d’accesso.

Si pensi anche solamente a banche ed a servizi di posta.

Esiste un proof-of-concept in rete nel quale è previsto dopo 5 secondi la “trasformazione” della pagina “innocua” nella pagina (FAKE) di logon di gmail, ad esempio. L’utente nella fretta ed in buona fede (visto che lo script carica una pagina IDENTICA all’originale comprensivo di icona distintiva dell’indirizzo –favicon-) reinserisce le credenziali.

A quel punto il gioco è fatto (potrebbe forse spiegare recenti violazioni? Le verifiche sono ancora in corso).

Guardando il codice nulla vieta un redirect verso la vera risorsa e se il cookie è ancora valido per l’utente potrebbe risultare del tutto indifferente (vedi gmail).

Inoltre, ho verificato che non funziona solo sullo switch tra tab: funziona quando perde il focus quindi anche quando ci sono diverse istanze del browser. Questo aspetto non è da sottovalutare visto che più sono le finestre aperte e maggiore è la probabilità che passi inosservato l’inganno.

Se volete, provate, con cautela, direttamente il proof-of-concept.

Suggerimenti

Quando ci autentichiamo a servizi delicati è opportuno chiudere le finestre del browser ed aprirne una nuova dedicandola a tale attività.  Evitare il più possibile sessioni di diversa natura e finalità specialmente se prevedono autenticazione.

Al momento di inserire le credenziali di accesso assicurarsi di essere giunti su quella pagina seguendo un bookmark sicuro o avere digitato manualmente l’indirizzo possibilmente in https. In altre parole, niente link e … attenzione anche ai cambiamenti di pagina!

Usare firefox e NoScript.

*** Aggiornamento 1 ***

Ho inserito di seguito uno screencast per coloro che non vogliono vedere il poc in funzione.

_____
Clusit

Be Sociable, Share!