Újfajta böngészőtámadás – bemutatóvideóval

A Mozilla Foundation Firefox böngészőt fejlesztő csapata a minap újfajta támadási formáról számolt be, amit angolul tab napping névre kereszteltek. A magyarul nagyjából „alvó fül” sebezhetőségre fordítható jelenség a felhasználó figyelmetlenségét használja ki, és ezzel szerezhet meg olyan bizalmas adatokat, amelyeket magától nem adna ki egy, kicsit tudatos internetező sem.

Aza Raskin, az alapítvány egyik biztonsági szakértőjének tájékoztatása szerint tulajdonképpen az elv hasonló a jelszóhalász (phishing) támadásokéhoz. A már évek óta ismert sémánál olyan oldalak meglátogatására próbálják rávenni a monitor előtt ülőket, amelyek külsőre teljes mértékben megegyeznek vagy nagyon hasonlítanak ismert website-okra – például banki oldalakra. Ha sikerül becsapni az internetezőt, akkor – abban a tudatban, hogy az eredeti, biztonságos oldalon vannak – megadják adataikat, például bankszámlaszámukat és PIN-kódjaikat. Ezek birtokában a támadók leemelhetik pénzüket a számláikról, visszaélhetnek azonosságukkal, hogy csak néhány példát említsünk.

A tab nappig, azaz az alvó fül sebezhetősége abban különbözik ettől, hogy az ártó szándékkal létrehozott website elsőre meg sem próbálja lemásolni más oldalak külsejét. Mivel azonban az internetezők többsége nem zárja be rögtön a megnyitott böngészőfület, hanem másik tabra kattintva tovább szörföl, az így láthatatlanná vált felületen érdekes változás áll be. A nem aktív, de csaló oldal külseje átalakul egy legitim szolgáltatás nyitófelületével megegyezőre, például egy webes e-mailszolgáltatás beléptető oldalára. Amikor az internetező visszakattint, már nem az eredetileg megnyitott oldalt látja, hanem a megváltozott felületet. Ha nem emlékszik arra, hogy az adott fülön teljesen más tartalommal találkozott korábban, abba a hibába eshet, hogy belépés céljából megadja adatait.

Nagy az esélye annak, hogy az áldozatok tudomást sem szereznek arról: csapdába estek. A fenti példánál maradva az internetező begépeli azonosítóját és belépőkódját, az oldal pedig átirányítja a legitim szolgáltatásra – ahol a beállítástól függően akár rögtön be is léphet, a böngészővel megjegyeztetett felhasználónév/jelszó miatt.

Mit lehet tenni a tab napping ellen? Nos, érdemes minden egyes, azonosítást és hitelesítést megkövetelő oldalon megtekinteni az URL-sort. Ha az nem egyezik meg az általunk megszokottal (például gmail.com helyett valamilyen teljesen más webcímet látunk), ne adjuk ki adatainkat!