[ImoLUG] [Fwd: Nuova tecnica di furto password: tabnabbing]

Riccardo Govoni ☢ battlehorse@gmail.com
Lun 31 Maggio 2010 14:54:25 CEST


Occhio che con l'apertura all'utilizzo di caratteri unicode negli url non e'
sempre cosi facile. Tipo potrei registrare un gmail.com dove la i é in
realtà un carattere unicode diverso ma molto simile. Praticamente
irriconoscibile. In questi casi e' il certificato https a salvare le braghe,
ma iniziamo ad andare sul complicato per l'utente comune.

/R.

On 31 May 2010 13:01, "Franco Tampieri" <info@francotampieri.com> wrote:
> Beh è carino e lo si può fare con un pò di javascript + css, il problema è
> che come tutte le tecniche di phishing è l'url sulla barra di navigazione
> che tradisce il maleintenzionato, come al solito basta sempr eun pò più di
> attenzione :)
>
> Cheers
>
> Franco
>
> Il giorno 31 maggio 2010 12.43, Daniele Zampighi
> <daniele_zampighi@tin.it>ha scritto:
>
>> ragazzi, interessante e preoccupante.
>> Ho seguito il link in fondo ed effettivamente la pagina ha cambiato
aspetto
>> ... ed io ho il vizio di tenere aperte molti tabs....
>> okkio quindi...
>>
>> -------- Messaggio Originale --------
>> Oggetto: Nuova tecnica di furto password: tabnabbing
>> Data: Fri, 28 May 2010 06:42:53 GMT
>> Da: Paolo Attivissimo <noreply@blogger.com>
>>
>>
>>
>> L'attacco della scheda mutaforma
>>
>>
>> <
>>
http://4.bp.blogspot.com/_ebKDfm0h1oI/S_9bO80vUpI/AAAAAAAALQg/EYH3t1U2Vis/s1600/fake+gmail.png
>Questo
>>
>> articolo vi arriva grazie alle gentili donazioni
>> <http://www.attivissimo.net/donazioni/donazioni.htm> di
>> "veronicalareina" e "maurimds".
>>
>> Aza Raskin <http://en.wikipedia.org/wiki/Aza_Raskin>, esperto di
>> interfacce e figlio d'arte (il padre era il celebre Jef Raskin
>> <http://en.wikipedia.org/wiki/Jef_Raskin> che avviò il progetto
>> Macintosh per Apple), ha annunciato
>> <http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/> una
>> nuova forma di attacco informatico particolarmente subdola.
>>
>> La maggior parte degli attacchi di /phishing/ (furto di password tramite
>> false pagine Web di autenticazione simili a quelle effettive) funziona
>> secondo un meccanismo standard: la vittima riceve una mail che contiene
>> un link, clicca sul link, viene quindi portata a una pagina Web gestita
>> dall'aggressore ma identica a quella di autenticazione di un servizio
>> usato dalla vittima (per esempio la posta di Gmail), immette il proprio
>> nome utente e la propria password e così le regala all'aggressore.
>>
>> La sequenza degli eventi è diretta e piuttosto ben conosciuta, per cui
>> molti utenti ormai non si fanno più gabbare. Raskin, però, ha trovato
>> una maniera per renderla molto meno evidente e l'ha
>> chiamata /tabnabbing/ (letteralmente, "catturare la scheda di un
>> browser"). Funziona molto bene sugli utenti che tengono aperte molte
>> pagine nel proprio browser, in modo che ciascuna sia in una scheda
(/tab/).
>>
>> Nel /tabnabbing/, la vittima clicca su un link trovato su Internet e
>> finisce su una pagina dall'aria del tutto innocua che non gli chiede
>> password o altro e quindi non lo mette sul chi vive, ma ha un contenuto
>> interessante (immagini osé o altro). Così la vittima non la chiude ma
>> passa a un'altra scheda del browser. Quello che l'utente non si aspetta
>> è che la pagina-trappola a questo punto aspetta che nessuno la stia
>> guardando e si trasforma: cambia la propria icona (/favicon/) e il
>> proprio contenuto, diventando una pagina che richiede l'autenticazione
>> per un servizio adoperato dall'utente: per esempio, la login di Gmail.
>>
>> La vittima penserà molto probabilmente di aver lasciato aperta una
>> scheda del servizio e crederà di essere stato scollegato dal servizio
>> per mancato utilizzo, come avviene periodicamente, e quindi immetterà
>> nella pagina-trappola le proprie credenziali nel tentativo di fare
>> login, regalando così all'aggressore i propri codici. Per completare il
>> furto con destrezza, l'aggressore può poi trasferire l'utente e le sue
>> credenziali alla pagina vera del servizio, così l'utente farà
>> effettivamente login e non si accorgerà che gli è stata sottratta la
>> password di accesso.
>>
>> La trappola, come nota Raskin, si basa sull'idea sbagliata che una
>> scheda sia immutabile e usa il forte richiamo visivo di un'icona. Per
>> dimostrarne l'efficacia, ha predisposto una dimostrazione innocua:
>> andate qui
>> <http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/> nel
>> sito di Raskin e poi aprite un'altra scheda del browser, restando sulla
>> nuova scheda per qualche secondo. Vedrete che la scheda nascosta, che
>> prima ospitava la pagina di Raskin, cambierà icona e contenuto,
>> diventando la pagina di login di Gmail. Il trucco funziona con quasi
>> tutti i browser più diffusi. Raskin lo dimostra in un video
>> <http://vimeo.com/12003099>:
>>
>> A New Type of Phishing Attack <http://vimeo.com/12003099> from Aza
>> Raskin <http://vimeo.com/user532161> on Vimeo <http://vimeo.com/>.
>>
>>
>> In questa dimostrazione volutamente blanda, l'utente può accorgersi
>> dell'inganno notando che l'URL nella barra dell'indirizzo non è quello
>> giusto. Ma quanti lo faranno? Oltretutto esistono vari modi per
>> mascherare anche l'URL.
>>
>> La soluzione migliore contro questo tipo di trappola è aprire sempre una
>> scheda nuova per fare login a qualunque servizio e immettere manualmente
>> l'indirizzo oppure prenderlo dai Preferiti.
>>
>> --
>> Sto lavorando duro per preparare il mio prossimo errore
>> Bertolt Brecht
>> --
>> Linux user # 404412 - Ubuntu user # 17027
>> ---
>> Rispetta l'ambiente: se non ti è necessario, non stampare questa mail.
>> ---
>> il presente messaggio è stato ricevuto e reinviato ad amici/che della mia
>> mailing list; chi volesse essere cancellato dall'indirizzario risponda
con
>> un messaggio vuoto indicando, quale oggetto: "cancellami", ricordo che,
per
>> garantire la riservatezza del mittente e dei destinatari, è
raccomandabile
>> la cancellazione dei medesimi in caso di ulteriori inoltri del messaggio.
>>
>> _______________________________________________
>> ImoLUG mailing list
>> imolug@lists.linux.it
>> http://lists.linux.it/listinfo/imolug
>> Connettivita' offerta da Waymedia - http://www.waymedia.it/
>>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100531/d3f0dede/attachment-0001.htm>


Maggiori informazioni sulla lista ImoLUG