Tabnapping, il phishing che rapisce le tab.

Di Redazione di Zeus News.

Aprire molte schede nel browser pu essere pericoloso: possono trasformarsi all'improvviso in trappole e sottrarre dati sensibili.

L'ultima frontiera del phishing si chiama tabnapping (gioco di parole tra tab - linguetta, ma anche "scheda" nel browser - e kidnapping - rapimento) e sfrutta una delle abitudini ormai consolidate di molti navigatori: aprire diverse schede in contemporanea all'interno della finestra del browser e poi, con calma, visitarle a una a una.

Questo comportamento apparentemente innocente nasconde un'insidia. Come abbiamo detto pu infatti capitare, navigando nel Web, di aprire un certo numero di schede (tab, appunto) con l'intenzione di consultarle con calma in successione; ovviamente, mentre si sta valutando il contenuto di una scheda le altre restano dormienti finch non giunge il loro turno.

Maggiore  il numero di schede aperte, maggiori sono anche le possibilit che non ci si ricordi esattamente tutti i siti che queste dovrebbero ospitare; ed  sfruttando questa debolezza che un malintenzionato pu piazzare la propria trappola.

Il primo passo  far capitare l'utente ignaro sul proprio sito, in modo che questo venga aperto insieme ad altri e finisca in una delle schede dormienti. A quel punto, uno script si assicurer che l'utente sia concentrato su un'altra tab (registrando l'inattivit sulla propria) e, silenziosamente, "rapir" la propria scheda dirigendola su un'altra pagina, magari costruita appositamente per somigliare a un sito famoso, di cui rubare le credenziali (Gmail, per esempio).

Quando l'utente torner sulla scheda in questione, non trover ad attenderlo la pagina che aveva aperto in principio, ma molto probabilmente non se ne ricorder nemmeno: vedr Gmail - o chi per essa - che gli chieder di fare login, inserir con leggerezza i propri dati e li consegner nelle mani del genio del male che avr architettato l'inganno.

L'attacco pu ulteriormente essere raffinato sfruttando la cronologia del browser per scoprire quali siti l'utente visiti abitualmente e personalizzare cos la trappola.

Vedere con i propri occhi una dimostrazione di questo sistema  pi facile che spiegarlo. Ecco perch Aza Raskin, Creative Lead di Firefox, ha creato sul proprio blog una pagina adatta allo scopo: per vedere il sistema in funzione  sufficiente aprirla e poi spostarsi su un'altra tab per almeno cinque secondi. Scaduto il tempo, si sar trasformata nella schermata di login di Gmail.

Raskin ammette che, per semplicit e pigrizia, ha usato uno screenshot della vera pagina di Gmail; ma nulla vieta a un vero malintenzionato di ricreare un convincente facsimile in Html.

Zeus News.

