En Internet, todo se mueve muy deprisa. También el malware, y las nuevas formas de phishing. Por suerte, ese nuevo método no ha sido descubierto por un hacker malicioso, sino por un desarrollador en Mozilla, Aza Raskin. La idea es simple: cuando el usuario no esté mirando la pestaña, cambiamos su aspecto para que parezca otra. Este ataque puede ser realmente efectivo. No somos pocos los que acostumbramos a trabajar con varias pestañas, y lo que nos guía es su icono y su título. El alcance de un ataque de este tipo en una página muy visitada...
Comentarios
Tomo nota, gracias por el aviso.
¡Otias! Lo que hace ZP: en nada que te marcas un ZaPping, se desdice 24 veces.
Conclusión: antes de meter el nombre, mira la URL:
http://img.skitch.com/20100524-b639xgwegpdej3cepch2387ene.png
#2: OFFTOPIC.
#2 No hace falta mezclar la politica en todo...
Habrá que estar alerta con estos ataques.
#5 No me digas que eso no es política
#2 Perdona, te he votado positivo queriendo votarte negativo.
A parte de la URL, lo más obvio (en este caso) es que la fuente está renderizada "a la mac", y el botón lo mismo. Lo malo es que el navegador puede coger la información del sistema operativo y mostrar diferentes imágenes, así que sí, habrá que ver la URL antes de hacer nada.
Importante => meneo al canto. No estaré enviando este comentario a un tercero?
Está claro que estamos vendidos a cualquier persona, que siendo buena, decida usarla para perjudicar al prójimo. Podemos hacer tanta propaganda (meneos) como podamos, pero los mismos que lo hemos leído a tiempo (o no) podemos caer en un momento de despiste.
Parece ser que el futuro de Internet pasa por pagar caro cualquier descuido. Dios quiera que me equivoque.
Pues mira, te pones a ver un poquito de pr0n, se te va el santo al cielo y al acabar dices, ¡anda! Voy a comprobar mi correo.
Qué jodios.
Habra que tener ojo con las URL
Por cierto, no me considero en absoluto vulnerable al phishing y demás prácticas de ingeniería social, pero lo cierto es que a esto tendré que estar especialmente atento, porque veo muy fácil que, por mi manera de navegar, me colasen algo así.
P.D. Espero que inventen alguna manera de evitar/paliar esto (lo más sencillo, que no se puedan actualizar ventanas en background, aunque eso suponga otros problemas para ajax...).
El cambio no funciona con NOSCRIPT a menos que permitamos los scripts de la página.
Así que supongo que se puede ir más seguro utilizando noscript.
#13 y #17: Si desenchufas el ordenador seguro que estás mucho más seguro, salvo que tengas un portátil con Wifi.
Noscript es una buena extensión para algunos usos concretos, pero para el 90% de la gente es una extensión que dificulta la navegación, y que tiene muchas probabilidades de terminar anulada ya que se añadirían excepciones a todo.
#22 Yo estuve usando NoScript y la verdad es que estaba encantado. Hasta que tuvo que tocar el ordenador la que por entonces era mi novia... Era llegar a una página con Flash y tener que decirle que el recuadrito amarillo ese era porque no había añadido una excepción y blabla... Llegaba un amigo a casa y más de lo mismo, porque yo era bastante exigente en las excepciones, la mayoría de los sitios les tenía prohibidos la ejecución de Javascript/inserción de flash. Al final todos quedaban mirándome con cara rara, entre que veían un GNU/Linux por primera vez en su vida y lo de NoScript me tienen por poco menos que un loco
El caso es que en el curro cambie de máquina y fui dejando la instalación de NoScript. Y la verdad, que hasta que no empecé a navegar a diario sin él no me dí cuenta de lo realmente incómodo que era...
Por otra parte, la implementación es muy buena, yo estaba acostumbrado a ella y la experiencia de usuario no era mala. Pero el problema de esta extensión es que obliga a modificar tus hábitos navegando y a mi eso me cuesta mucho... No descarto, de todas formas, volver a instalarla en un futuro.
Otra de las cosas que me echó para atrás fue el filtro de ataques XSS. Es muy difícil hacer una inyección XSS a través de parámetros con NoScript activado y eso cuando estás probando páginas web para prevenir este ataque es bastante incómodo. Además, interfiere con otras extensiones de Firefox, a mi me daba problemas el comando map de ubiquity.
Es bueno saberlo. Muchas gracias.
Chrome no es vulnerable. Al menos su última versión y al menos en la prueba de concepto.
No parece muy complicado hacerlo para todos los navegadores
¿qué es eso de cambiar la autenticación del servidor? -en firefox- ¿?¿?¿
"can all be done with just a little bit of Javascript"
Y como siempre noscript es tu amigo...
Como siempre, NoScript hace de tu navegador un entorno mucho más seguro
https://addons.mozilla.org/es-ES/firefox/addon/722/
Según Raskin, la mejor manera de evitar estos ataques sería cambiar a la autenticación basada en el navegador, que evitaría estas confusiones con URL falsas.
Opera me parece un navegador seguro para este tipo de casos. Si la página es real te activa el icono de la contraseña en azul para que la uses automáticamente. En el tema de certificados digitales que tengas instalados, tienes la opción de ponerle una clave en el momento que una web te la pida, añadiendo una doble seguridad y evitando que gente que se sienta en tu ordenador con el certificado digital instalado pueda usarla.
Por eso uso IE6.... es lo máximo
Idea: ¿y si se parase la ejecución de scripts en pestañas no-activas?
De todas formas si no están activas, para qué quieres que chupen cpu ejecutando scripts; dos pájaros de un tiro.
PD: mejor aún, que se dejen de ejecutar scripts al perder el foco una pestaña, así se podrían ejecutar los scripts de carga de las de segundo plano antes de recibir foco.
#21 ¿Y un script que tenga que ejecutarse en segundo plano, o de modo continuado, mientras tengamos abierta el site? :
#29 ¿Como cuál, por ejemplo?
Porque no se me ocurre ningún caso de uso en el que quisiese ejecutar -en el navegador- algo que no estoy viendo.
"En Internet, todo se mueve muy deprisa."
Comparativa al uso:
- Internet: Atentos al tabnabbing, la nueva forma de phishing. (Año 2010)
- Política: Debemos legislar para que sea ilegal usar Napster. (2010, pero como si fuera 1998)
- Justicia: El virus Barrotes, ¿ya ha dejado de infectar nuevos ordenadores? (ídem, pero 1994)
- Compañeros de trabajo de Wardog: Wardog, ¿cómo se encendía el ordenador? (...1970)
- Bono: Mi ordenador olía a quemado, le eché agua sin pensar y ahora funciona de puta madre. (...1850)
No es por hacerme el listo pero yo siempre miro la barra de navegacion para todo, debo ser el último tonto que aun no usa google para acceder a urls
Yo uso el gmail en un browser especifico creado con Fluid el reader igual. Al menos por ahí me quedo más tranqui, pero claro no es solución, habrá que estar con 4 ojos.
http://fluidapp.com/
A mi Gmail me avisó hace unos días de que se conectaron a mi cuenta desde china, y no sabía cómo. Por lo visto también se hizo spam desde ella. No me lo explicaba, nunca había picado en tema de phishing, troyanos ni parecido. Ahora, viendo esta noticia, me da que me imagino cómo pudo suceder...
No solo funciona en Firefox y Chrome, también en Opera ¡Cuidado!
No voy a decir que nunca vaya a caer porque estas cosas no sabe uno cuándo puede llegar a caer, pero la pestaña de GMail la tengo siempre en primer lugar (abierta siempre) y las demás pues mínimamente ordenadas. Si de primeras se me cambiara una pestaña cualquiera a GMail, me mosquearía, aunque habrá que mirar cada vez la URL.
Esperemos que salga un remedio medianamente rápido para esto. Está claro que la crisis agudiza el ingenio.
Vaya bug... magistral.
Esta es de las ideas que la mayoría de los desarrolladores decimos: pucha! casi que se me ocurrió a mi : P
Para todos los que dicen que es un bug, esto no es un bug... no hay bug. Es como la ingenieria social, pero con javascript y css.
Habrá que andar con ojos en la nuca;
de todos modos, esto pronto será cosa del pasado.
En Chrome no funciona
Claro, que puede que la idea sí sea implementable y sea solo por la técnica que haya usado el autor.
Ideas para evitarlo son que el navegador avise cuando:
a) se cambia el favicon (no sería muy intrusivo, casi nadie lo hace)
b) salgan en background nuevos password input.
Y finalmente, lo mejor creo que es simplemente que cuando se cambie a una pestaña en que ha habido cambios en background, la URL se resalte de alguna manera (eg: que salga con fondo amarillo intermitente durante medio segundo). Es suficiente para asegurar que el usuario desvía la vista a la URL pero no es intrusivo.
Cuando no esté mirando...¡qué gracioso!
Bueno Gracias por el articulo , yo llevo infectado desde hace 2 meses y no encontre ninguna solucion (he pasado todos los spyware y malware del mundo, lo he desistalado y vuelto a instalar ) es decir que por lo menos ya se que se lalma tabnabbing.
Estoy de acuerdo en que se asocia a la cuenta de gmail y por ahora me pasa con el Internet explorer 8 y el mozilla, basicamente te redirige cualquier busqueda que hagas con cualquier buscador (google, ask,yahoo...) a paginas de publicidad kingolotto y demas (en el primer click , si haces nuevo click en la busqueda ya te aparece la pagina que estas buscando).
Es decir por ejemplo buscas meneame en el buscador haces click en la busqueda y te redirige a paginas indeseables (las tengo bloqueadas con el adblock pero aparecen igual eso si sin imagenes o sin algun elemento).
La unica solucion que he encontrado es utilizar el CHROME,