Новый вид атаки "tabnapping" на все виды браузеров
О новом виде атаки на все браузеры, который получил название "tabnapping" рассказал Аза Раскин (Aza Raskin) - один из разработчиков Mozilla Firefox. "tabnapping"означает, в переводе на русский, "забыл про вкладку". Аза Раскин сообщил, что суть атаки заключается в следующем: когда пользователь, отвлекшись от просмотра текущей веб-страницы, осуществляет переход на другую (это событие нетрудно зафиксировать с помощью JavaScript), предыдущий веб-сайт подменяет в своей вкладке иконку, заголовок и содержимое на контент, напоминающий какой-нибудь популярный сайт, требующий ввода данных пользователя (пароля, имени, номера кредитной карты и т.д.). Со стороны пользователя же это выглядит вот как: при возврате на старую вкладку или страницу, он видит, что перед ним используемый сайт, который требует авторизации (например, из-за разрыва сессии, как это часто делает Gmail), и, не обращая внимания на URL страницы, пользователь без боязни вводит туда свои данные, передавая их мошеннику. Т.е. атака "срабатывает" за счет невнимательности пользователя, не более. Пользователь ведь уверен, что иконку сайта, его заголовок и содержимое никто без его ведома заменить не мог. Как защититься? Нужно всего лишь: - проверить URL страницы вкладки, на которую Вы возвращаетесь; - проверить использование SSL для важных сайтов; или - проверить использование, например, расширения Mozilla Firefox NoScipt, которое по умолчанию запрещает использование JavaScript на новых, незнакомых сайтах.© Root.UA
