Novo ataque explora a navegação por abas

Um pesquisador desenvolveu um novo tipo de ataque phishing que aproveita o modo com que os navegadores lidam com navegação por abas e permite a um atacante usar um script em execução em uma guia para mudar completamente o conteúdo em outra. O ataque, demonstrado por Aza Raskin, da Mozilla, poderia ser usado para ataques altamente direcionados contra os clientes de um banco específico, serviço de Webmail ou de cartão de crédito.

A nova técnica de phishing por abas depende de um usuário visitar um site controlado pelo invasor, que inclui um script malicioso. Quando o usuário visita o site, o código do atacante detecta quais outras páginas que o usuário tem aberto no browser e verifica quais não foram visitadas por um tempo. O código JavaScript então muda o favicon da guia e o conteúdo da página para parecer com o que o atacante quiser.

No exemplo que Raskin incluiu em seu site, o código altera a página para a página de login do Gmail. No entanto, um invasor poderia facilmente optar por um ataque usando uma página de login de um grande banco ou de outro site com credenciais de login de alto valor.

A idéia a vítima olhar  na guia aberta, “lembrar” que ela deixou uma aba do Gmail ou do banco aberta e depois logar-se novamente. Depois que as credenciais são introduzidas, o invasor pode simplesmente redirecionar a vítima ao local correto, que seria exibido corretamente porque o usuário ainda não deu log-out.

“Como o usuário verifica suas muitas abas abertas, o favicon e o título agem como uma importante dica de memória visual – ele é maleável e moldável e o usuário irá simplesmente achar que deixou uma aba do Gmail aberta. Quando clicar de volta para a aba do Gmail fake , ele verá a página de login padrão do Gmail, supor que estiva desconectado, e fornecer as suas credenciais para entrar. O ataque usa a suposta imutabilidade das guias”, Raskin escreveu em seu blog sobre o ataque.

Raskin especula que a técnica poderia ser usada em uma série de cenários diferentes, incluindo em combinação com outras táticas, como a captura de histórico CSS para segmentar os clientes de um serviço específico ou uma instituição financeira.

“For example, you can detect if a visitor is a Facebook user, Citibank user, Twitter user, etc., and then switch the page to the appropriate login screen and favicon on demand,” he writes. “Even more deviously, there are various methods to know whether a user is currently logged into a service. These methods range from timing attacks on image loads, to seeing where errors occur when you load an HTML webpage in a script tag*. Once you know what services a user is currently logged in to, the attack becomes even more effective.”

“Por exemplo, você pode detectar se o visitante não é um usuário do Facebook, do Citibank, Twitter, etc, e depois alternar a página para a tela de login e favicon adequados em tempo real”, escreve ele. “Ainda mais tortuosa, existem vários métodos para saber se um usuário está conectado a um serviço. Estes métodos variam desde ataques sincronizados com carregamento da imagem, a ver onde erros ocorrem quando você carrega uma página HTML em uma tag script *. Uma vez que você sabe quais os serviços em que um usuário está conectado no momento, o ataque se torna ainda mais eficaz. “

Fonte: Novo ataque explora a navegação por abas