Tabjacking/Tabnabbing: la nuova forma di phishing che minaccia il web

Non so se definire l’idea del tabjacking tremenda o geniale. No è che… per ciò su cui lavoro e per il mio passato è difficile che uno di questi “trucchetti” per “far fessi i polli” mi sconvolga…eppure questa volta è capitato! No, davvero, resterei qui ore ed ore a dirvi perchè, per come e per quando questa cosa mi affascina così tanto.. ma mi rendo conto che a voi non può importarne di meno, quindi…ecco la notizia.

Mi trovavo allegramente a navigare per il web e a visitare le pagine più assurde, quando mi imbatto in questa pagina web che presentava tutta la storia del Tabjacking. Non ricordo per quale folle motivo ho cambiato tab…e quando ho cercato l’articolo per rileggerlo..non l’ho più trovato. In compenso, ho trovato una pagina di GMail aperta, con tanto di schermata di login… cosa alquanto impossibile, visto che io gestisco GMail direttamente dal pannello di GNome. Ho clickato su questa pagina e….sorpresa, è riapparso l’articolo che stavo leggendo. Oh, mio dio, è proprio questo il Tabjacking?

Ebbene si, avevo appena assistito ad una demo di un tentativo di phishing. A quanto sono riuscita a capire, tutto ruota intorno al javascript : è proprio tramite quest’ultimo che si riesce a cambiare favicon, titolo e contenuto della pagina. L’unica cosa che non si riesce a cambiare è l’url della pagina : appunto numero uno – controllate sempre, quando avete a che fare con campi in cui inserire le vostre credenziali, che il sito web che leggete dalla barra degli indirizzi corrisponda effettivamente a quello che state visualizzando.

Sempre su questo articolo, c’erano suggerimenti su come, in teoria, si sarebbe potuto migliorare l’attacco, e una delle genialate è proprio questa : se, in qualche modo, il phisher tramite qualche script avesse modo di accedere alla cronologia del browser (una volta era possibile fare ciò con il CSS,ma i browsers di ultima generazione hanno totalmente disabilitato questa funzionalità), potrebbe dinamicamente generare una pagina web del tutto simile a quella che l’utente ha già visualizzato e in cui ha inserito le sue credenziali, visualizzando magari un messaggio di sessione scaduta ed un invito ad effettuare di nuovo il login.

La terza genialata è direttamente collegata a ciò che ho appena scritto : vi ho detto prima che lo script agisce nel momento in cui si cambia scheda nel browser e….a chi non è mai capitato di lasciare aperto un tab su di un sito in cui si erano prima inserite le proprie credenziali, e di trovarsi faccia a faccia con una sessione scaduta dopo qualche minuto? Ebbene sì, questo nuovo phishing sembra anche prendersi gioco della psicologia umana : magari, guardando la sessione scaduta, l’utente neanche si rende conto che sta per essere fregato, credendo di aver dimenticato semplicemente il tab aperto. Geniale, geniale e diabolico.

Ed ora vi faccio toccare con mano tutto ciò che ho detto : clickate sul link che troverete a fondo articolo (altro non è che l’articolo originale da cui ho preso spunto, e non è assolutamente phishing, è soltanto una demo), cambiate tab nel browser, aspettate una manciata di secondi e rialzate lo sguardo. L’articolo non esisterà più,ma al suo posto sarà comparsa una simpatica pagina di login di GMail : chiaramente è un’immagine, e vi basterà clickarci sopra per ritornare all’articolo ma…converrete con me che, se una cosa del genere viene fatta all’improvviso, è molto semplice cascarci. Per cui vi dico : CONTROLLATE SEMPRE L’INDIRIZZO NELLA ADDRESS BAR DEL BROWSER PRIMA DI INSERIRE NOMI UTENTE E PASSWORDS!