Que esTabNabbing?

Internet lo es todo para muchos y su potencial no tiene lmites, pero como en todo siempre hay alguien que lo usa con fines no del todo buenos. En este medio se mueven miles de virus, gusanos y estafadores cada da que intentan hacer la vida imposible a muchos de los internautas.

Creo que tenemos un gran armamento disponible para combatir todas estas amenazas pero no siempre es suficiente. Cada da las amenazas crecen y es importante estar alerta de los nuevos ataques. Hace unos das que escucho hablar del TabNabbing. El TabNabbing es otra forma de robar nuestros datos a travs de formularios que parecen oficiales, similar a lo que hace el phishing. El nuevo sistema aprovecha las mltiples pestaas que se abren en nuestro navegador para copiarlas y engaarnos haciendonos creer que seguimos en el sitio oficial de nuestro correo, entidad bancaria o red social y te roba los datos. Es decir que ingresas en una pgina normal y en 5 segundos al cambiar la pestaa su aspecto cambia por el de Gmail (p. ejemplo) luego el usuario introduce su cuenta y contrasea y el programa te redirecciona a tu bandeja de entrada, pero podrs saberlo porqu la URL del atacante se mantiene. Para evitarlo debers controlar el nmero de pestaas que abres y estar alerta mirando la URL del atacante (que se mantiene), yo ya no suelo abrir muchas a la vez, espero no tener problemas

Tabnabbing es el nuevo mtodo de Phishing en Internet, Aza Raskin (quien descubri el mtodo) muestra como la acostumbrada navegacin por pestaas puede convertirnos en vctimas de un ataque de phishing ms ingenioso y sofisticado. El mtodo se centra en las pestaas abiertas en el navegador y las pginas visitadas por el usuario anteriormente. Muchos hemos escuchado sobre el Phishing o robo de identidad en internet, que bsicamente se da a travs de engaos, desde el envo de un correo
Instalaciones en Edificaciones Docente: Arq. Roxana Pacheco Ch.

electrnico para actualizar tus datos personales, hasta las llamadas telefnicas para pedirte ciertos datos que darn acceso a tus cuentas personales para robarte. Ahora, se alerta de otro mtodo llamado TabNabbing y te explico a continuacin cmo funciona. Cmo funciona? Muchos acostumbran tener varias pestaas del navegador abiertas, TabNabbing aprovecha para cambiar el sitio de una pestaa por la apariencia de Gmail mientras revisas los contenidos de las otras pestaas. Si no te das cuenta que ste nuevo sitio no era el que estabas utilizando, TabNabbing guarda tu informacin, te redirecciona a la pgina original de Gmail donde habas iniciado sesin anteriormente y te hace creer que tu ingreso de datos tuvo xito. Una caracterstica interesante en ste phishing es detectar los sitios que ms frecuentas, lo cul le sirve para tomar apariencia del correo electrnico que utilizas y no cometer el error de abrir una pestaa con la pgina de inicio de Hotmail en lugar de Gmail. A pesar de que los correos electrnicos sean los ejemplos comunes de sta amenaza, redes sociales como Facebook o Twitter y servicios que te piden confirmacin de datos personales tambin corren el riesgo de ser utilizados para el robo de datos. Aza Raskin, descubre el TabNabbing Aza Raskin ha desvelado un nuevo mtodo de modificacin de pginas en pestaas del navegador (afecta a casi todos) que puede ser utilizado para realizar ataques de phishing un poco ms sofisticados. Est basado en una tcnica que permite modificar el aspecto de una pgina cuando no tiene el "foco" de la pestaa del navegador. El ataque es ingenioso, aunque tiene sus limitaciones. Cmo funciona Un usuario navega hacia la pgina del atacante, que no tiene por qu simular ningn banco o pgina de login. Simplemente es una pgina ms equipada con un cdigo JavaScript que har el "truco". La vctima cambia de pestaa (o de programa, lo importante es que pierda el foco) y sigue con sus visitas cotidianas a otras pginas. Mientras, la web del atacante cambia por completo gracias al JavaScript: el favicon, el ttulo, el cuerpo... todo excepto el dominio, lgicamente. La pgina ahora podra parecerse a (por ejemplo) la web de login de Gmail. La vctima, vuelve a la pestaa ms tarde y piensa que ha caducado su sesin. Introduce su contrasea y sta viaja hacia el atacante. Se supone que el usuario bajar la guardia puesto que, hasta ahora, se supone que una pestaa no "muta" a nuestras espaldas y por tanto, si aparece como "Gmail", por ejemplo, es que lo hemos visitado previamente. Los usuarios que
Instalaciones en Edificaciones Docente: Arq. Roxana Pacheco Ch.

mantengan habitualmente muchas pestaas abiertas, saben que es fcil olvidar qu se est visitando exactamente en cada momento. Mejoras al ataque Segn el propio descubridor, se podra investigar en el historial de CSS del navegador para averiguar qu pginas visita el usuario y mostrarse como una de ellas dinmicamente, para hacer ms efectivo el ataque. Existen otros mtodos para incluso averiguar en qu sitios est realmente autenticado el usuario, con lo que la tcnica resultara ms efectiva. Si el atacante consigue incrustar JavaScript en la web real que se quiere falsificar (por ejemplo a travs de publicidad contratada a terceros) entonces la pgina cambiara sobre el dominio real... y entonces s supondra un ataque "casi perfecto". En directo El descubridor, en su entrada http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/ ha colgado una prueba de concepto. Si se visita esa web, se pasa a otra pestaa durante 5 segundos (tiempo arbitrario impuesto por el descubridor), y se vuelve, mostrar una imagen de Gmail que toma de http://img.skitch.com/20100524b639xgwegpdej3cepch2387ene.png superpuesta sobre la pgina. Cambiar el favicon y el ttulo. Obviamente, el ataque en este ejemplo est especficamente diseado para que sea "visible". Qu aporta el ataque Supone un mtodo ingenioso y nuevo de intentar suplantar una pgina. Funciona en Firefox, Opera y (de forma un poco irregular) en Internet Explorer 8. Parece que Chrome no es vulnerable, aunque es posible que aparezcan mtodos para que s lo sea. Limitaciones El ataque sigue confiando en que el usuario no tenga en cuenta la URL, por tanto, cuando la vctima vuelve a la pestaa, estara ante un caso de phishing "tradicional" sino fuera porque la pestaa cambi "a sus espaldas". Realmente pensamos que no ser un ataque puesto en prctica de forma masiva por los atacantes, aunque obviamente puede ser utilizado selectivamente. La razn es que el phishing tradicional, burdo y sin trucos, sigue funcionando y reportando
Instalaciones en Edificaciones Docente: Arq. Roxana Pacheco Ch.

importantes beneficios a quienes lo ponen en prctica sin mayores complicaciones tcnicas. Y ambos se basan en que el usuario medio no aprovecha los beneficios de los certificados ni se fija en las URLs donde introduce las contraseas. Un ataque "parecido" basado en la superposicin de pginas en una web conocida, fue descrito por Hispasec en mayo de 2005. En esa ocasin se escribi "Nueva generacin de phishing rompe todos los esquemas" porque en estos casos, la URL del sitio falso (y el certificado) coincida con la real, esto es: realmente se estaba visitando la web real, y la falsificada se "pona" encima. Obviamente, este ataque necesitaba de una vulnerabilidad de Cross Site Scripting en la web original. Por desgracia el XSS es el tipo de error ms comn en estos das, tanto en bancos como en otras pginas importantes que trabajan con credenciales. A pesar de lo efectivo del ataque, no se observaron ataques masivos basados en esa tcnica. Mitigacin Para no sufrir el "tabnabbing", es necesario fijarse en las URLs antes de introducir contraseas, como siempre. Desactivar JavaScript para las pginas en las que no se confe, ya sea a travs de la Zonas para Internet Explorer o No-Script para Firefox. Raskin nos proporciona una forma extraa de experimentar como funciona TabNabbing, si tienes varias pestaas abiertas y en una de ellas tienes el sitio de Raskin, cambias de pestaa y aproximadamente a los 5 segundos su pgina obtiene la apariencia de Gmail, tambin puedes ver el funcionamiento de TabNabbing en este vdeo: A New Type of Phishing Attack from Aza Raskin on Vimeo. Cmo evitarlo? A pesar de que TabNabbing es una gran amenaza, es fcil detectar cuando inicia su ataque. Su estrategia es tomar la apariencia de un sitio que utilizas, sin embargo, no cambia la direccin, ni el cdigo fuente de la pgina que estabas utilizando anteriormente, por esa razn slo debes estar al tanto de stas dos caractersticas para que TabNabbing no robe tus datos personales. Muchos no acostumbran a revisar el cdigo fuente ni la direccin del sitio que revisan, confan en la apariencia de sta, por ahora toma la apariencia de Gmail, sin embargo, podra utilizar sitios como redes sociales, otras cuentas de correo electrnico, en donde necesites ingresar tus datos para iniciar una sesin. Lo que debes hacer para evitarlo es fijarte principalmente en la URL de la pgina donde ingreses de nuevo tus datos.
Instalaciones en Edificaciones Docente: Arq. Roxana Pacheco Ch.