[ImoLUG] [Fwd: Nuova tecnica di furto password: tabnabbing]

[Franco Tampieri]

Beh è carino e lo si può fare con un pò di javascript + css, il problema è
che come tutte le tecniche di phishing è l'url sulla barra di navigazione
che tradisce il maleintenzionato, come al solito basta sempr eun pò più di
attenzione :)

Cheers

Franco

Il giorno 31 maggio 2010 12.43, Daniele Zampighi
<daniele_zampighi@tin.it>ha scritto:

> ragazzi, interessante e preoccupante.
> Ho seguito il link in fondo ed effettivamente la pagina ha cambiato aspetto
> ... ed io ho il vizio di tenere aperte molti tabs....
> okkio quindi...
>
> -------- Messaggio Originale --------
> Oggetto:        Nuova tecnica di furto password: tabnabbing
> Data:   Fri, 28 May 2010 06:42:53 GMT
> Da:     Paolo Attivissimo <noreply@blogger.com>
>
>
>
>    L'attacco della scheda mutaforma
>
>
> <
> http://4.bp.blogspot.com/_ebKDfm0h1oI/S_9bO80vUpI/AAAAAAAALQg/EYH3t1U2Vis/s1600/fake+gmail.png>Questo
>
> articolo vi arriva grazie alle gentili donazioni
> <http://www.attivissimo.net/donazioni/donazioni.htm> di
> "veronicalareina" e "maurimds".
>
> Aza Raskin <http://en.wikipedia.org/wiki/Aza_Raskin>, esperto di
> interfacce e figlio d'arte (il padre era il celebre Jef Raskin
> <http://en.wikipedia.org/wiki/Jef_Raskin> che avviò il progetto
> Macintosh per Apple), ha annunciato
> <http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/> una
> nuova forma di attacco informatico particolarmente subdola.
>
> La maggior parte degli attacchi di /phishing/ (furto di password tramite
> false pagine Web di autenticazione simili a quelle effettive) funziona
> secondo un meccanismo standard: la vittima riceve una mail che contiene
> un link, clicca sul link, viene quindi portata a una pagina Web gestita
> dall'aggressore ma identica a quella di autenticazione di un servizio
> usato dalla vittima (per esempio la posta di Gmail), immette il proprio
> nome utente e la propria password e così le regala all'aggressore.
>
> La sequenza degli eventi è diretta e piuttosto ben conosciuta, per cui
> molti utenti ormai non si fanno più gabbare. Raskin, però, ha trovato
> una maniera per renderla molto meno evidente e l'ha
> chiamata /tabnabbing/ (letteralmente, "catturare la scheda di un
> browser"). Funziona molto bene sugli utenti che tengono aperte molte
> pagine nel proprio browser, in modo che ciascuna sia in una scheda (/tab/).
>
> Nel /tabnabbing/, la vittima clicca su un link trovato su Internet e
> finisce su una pagina dall'aria del tutto innocua che non gli chiede
> password o altro e quindi non lo mette sul chi vive, ma ha un contenuto
> interessante (immagini osé o altro). Così la vittima non la chiude ma
> passa a un'altra scheda del browser. Quello che l'utente non si aspetta
> è che la pagina-trappola a questo punto aspetta che nessuno la stia
> guardando e si trasforma: cambia la propria icona (/favicon/) e il
> proprio contenuto, diventando una pagina che richiede l'autenticazione
> per un servizio adoperato dall'utente: per esempio, la login di Gmail.
>
> La vittima penserà molto probabilmente di aver lasciato aperta una
> scheda del servizio e crederà di essere stato scollegato dal servizio
> per mancato utilizzo, come avviene periodicamente, e quindi immetterà
> nella pagina-trappola le proprie credenziali nel tentativo di fare
> login, regalando così all'aggressore i propri codici. Per completare il
> furto con destrezza, l'aggressore può poi trasferire l'utente e le sue
> credenziali alla pagina vera del servizio, così l'utente farà
> effettivamente login e non si accorgerà che gli è stata sottratta la
> password di accesso.
>
> La trappola, come nota Raskin, si basa sull'idea sbagliata che una
> scheda sia immutabile e usa il forte richiamo visivo di un'icona. Per
> dimostrarne l'efficacia, ha predisposto una dimostrazione innocua:
> andate qui
> <http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/> nel
> sito di Raskin e poi aprite un'altra scheda del browser, restando sulla
> nuova scheda per qualche secondo. Vedrete che la scheda nascosta, che
> prima ospitava la pagina di Raskin, cambierà icona e contenuto,
> diventando la pagina di login di Gmail. Il trucco funziona con quasi
> tutti i browser più diffusi. Raskin lo dimostra in un video
> <http://vimeo.com/12003099>:
>
> A New Type of Phishing Attack <http://vimeo.com/12003099> from Aza
> Raskin <http://vimeo.com/user532161> on Vimeo <http://vimeo.com/>.
>
>
> In questa dimostrazione volutamente blanda, l'utente può accorgersi
> dell'inganno notando che l'URL nella barra dell'indirizzo non è quello
> giusto. Ma quanti lo faranno? Oltretutto esistono vari modi per
> mascherare anche l'URL.
>
> La soluzione migliore contro questo tipo di trappola è aprire sempre una
> scheda nuova per fare login a qualunque servizio e immettere manualmente
> l'indirizzo oppure prenderlo dai Preferiti.
>
> --
> Sto lavorando duro per preparare il mio prossimo errore
>              Bertolt Brecht
> --
> Linux user # 404412 - Ubuntu user # 17027
> ---
> Rispetta l'ambiente: se non ti è necessario, non stampare questa mail.
> ---
> il presente messaggio è stato ricevuto e reinviato ad amici/che della mia
> mailing list; chi volesse essere cancellato dall'indirizzario risponda con
> un messaggio vuoto indicando, quale oggetto: "cancellami", ricordo che, per
> garantire la riservatezza del mittente e dei destinatari, è raccomandabile
> la cancellazione dei medesimi in caso di ulteriori inoltri del messaggio.
>
> _______________________________________________
> ImoLUG mailing list
> imolug@lists.linux.it
> http://lists.linux.it/listinfo/imolug
> Connettivita' offerta da Waymedia - http://www.waymedia.it/
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100531/2e3bc439/attachment.htm>