[ImoLUG] [Fwd: Nuova tecnica di furto password: tabnabbing]

Daniele Zampighi daniele_zampighi@tin.it
Lun 31 Maggio 2010 12:43:09 CEST 

ragazzi, interessante e preoccupante.
Ho seguito il link in fondo ed effettivamente la pagina ha cambiato 
aspetto ... ed io ho il vizio di tenere aperte molti tabs....
okkio quindi...

-------- Messaggio Originale --------
Oggetto: 	Nuova tecnica di furto password: tabnabbing
Data: 	Fri, 28 May 2010 06:42:53 GMT
Da: 	Paolo Attivissimo <noreply@blogger.com>



     L'attacco della scheda mutaforma


<http://4.bp.blogspot.com/_ebKDfm0h1oI/S_9bO80vUpI/AAAAAAAALQg/EYH3t1U2Vis/s1600/fake+gmail.png>Questo 

articolo vi arriva grazie alle gentili donazioni
<http://www.attivissimo.net/donazioni/donazioni.htm> di
"veronicalareina" e "maurimds".

Aza Raskin <http://en.wikipedia.org/wiki/Aza_Raskin>, esperto di
interfacce e figlio d'arte (il padre era il celebre Jef Raskin
<http://en.wikipedia.org/wiki/Jef_Raskin> che avviò il progetto
Macintosh per Apple), ha annunciato
<http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/> una
nuova forma di attacco informatico particolarmente subdola.

La maggior parte degli attacchi di /phishing/ (furto di password tramite
false pagine Web di autenticazione simili a quelle effettive) funziona
secondo un meccanismo standard: la vittima riceve una mail che contiene
un link, clicca sul link, viene quindi portata a una pagina Web gestita
dall'aggressore ma identica a quella di autenticazione di un servizio
usato dalla vittima (per esempio la posta di Gmail), immette il proprio
nome utente e la propria password e così le regala all'aggressore.

La sequenza degli eventi è diretta e piuttosto ben conosciuta, per cui
molti utenti ormai non si fanno più gabbare. Raskin, però, ha trovato
una maniera per renderla molto meno evidente e l'ha
chiamata /tabnabbing/ (letteralmente, "catturare la scheda di un
browser"). Funziona molto bene sugli utenti che tengono aperte molte
pagine nel proprio browser, in modo che ciascuna sia in una scheda (/tab/).

Nel /tabnabbing/, la vittima clicca su un link trovato su Internet e
finisce su una pagina dall'aria del tutto innocua che non gli chiede
password o altro e quindi non lo mette sul chi vive, ma ha un contenuto
interessante (immagini osé o altro). Così la vittima non la chiude ma
passa a un'altra scheda del browser. Quello che l'utente non si aspetta
è che la pagina-trappola a questo punto aspetta che nessuno la stia
guardando e si trasforma: cambia la propria icona (/favicon/) e il
proprio contenuto, diventando una pagina che richiede l'autenticazione
per un servizio adoperato dall'utente: per esempio, la login di Gmail.

La vittima penserà molto probabilmente di aver lasciato aperta una
scheda del servizio e crederà di essere stato scollegato dal servizio
per mancato utilizzo, come avviene periodicamente, e quindi immetterà
nella pagina-trappola le proprie credenziali nel tentativo di fare
login, regalando così all'aggressore i propri codici. Per completare il
furto con destrezza, l'aggressore può poi trasferire l'utente e le sue
credenziali alla pagina vera del servizio, così l'utente farà
effettivamente login e non si accorgerà che gli è stata sottratta la
password di accesso.

La trappola, come nota Raskin, si basa sull'idea sbagliata che una
scheda sia immutabile e usa il forte richiamo visivo di un'icona. Per
dimostrarne l'efficacia, ha predisposto una dimostrazione innocua:
andate qui
<http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/> nel
sito di Raskin e poi aprite un'altra scheda del browser, restando sulla
nuova scheda per qualche secondo. Vedrete che la scheda nascosta, che
prima ospitava la pagina di Raskin, cambierà icona e contenuto,
diventando la pagina di login di Gmail. Il trucco funziona con quasi
tutti i browser più diffusi. Raskin lo dimostra in un video
<http://vimeo.com/12003099>:

A New Type of Phishing Attack <http://vimeo.com/12003099> from Aza
Raskin <http://vimeo.com/user532161> on Vimeo <http://vimeo.com/>.


In questa dimostrazione volutamente blanda, l'utente può accorgersi
dell'inganno notando che l'URL nella barra dell'indirizzo non è quello
giusto. Ma quanti lo faranno? Oltretutto esistono vari modi per
mascherare anche l'URL.

La soluzione migliore contro questo tipo di trappola è aprire sempre una
scheda nuova per fare login a qualunque servizio e immettere manualmente
l'indirizzo oppure prenderlo dai Preferiti.

-- 
Sto lavorando duro per preparare il mio prossimo errore
               Bertolt Brecht
--
Linux user # 404412 - Ubuntu user # 17027
---
Rispetta l'ambiente: se non ti è necessario, non stampare questa mail.
---
il presente messaggio è stato ricevuto e reinviato ad amici/che della 
mia mailing list; chi volesse essere cancellato dall'indirizzario 
risponda con un messaggio vuoto indicando, quale oggetto: "cancellami", 
ricordo che, per garantire la riservatezza del mittente e dei 
destinatari, è raccomandabile la cancellazione dei medesimi in caso di 
ulteriori inoltri del messaggio.

Maggiori informazioni sulla lista ImoLUG