Specjalista Aza Raskin, pełniący niegdyś funkcję Head of User Experience w Mozilla Labs, opublikował dość nietypową sztuczkę phishingową: dzięki zmianie zawartości i favikonki jednej z kart, która obecnie nie jest w centrum uwagi internauty użytkownik może zostać wprowadzony w błąd i nakłoniony do podania danych logowania na stronie phishingowej. Raskin na stronie WWW zaprezentował demo tej sztuczki.
Specjalista Aza Raskin, pełniący niegdyś funkcję Head of User Experience w Mozilla Labs, opublikował dość nietypową sztuczkę phishingową: dzięki zmianie zawartości i favikonki jednej z kart, która obecnie nie jest w centrum uwagi internauty użytkownik może zostać wprowadzony w błąd i nakłoniony do podania danych logowania na stronie phishingowej. Raskin na stronie WWW zaprezentował demo tej sztuczki.
Posługując się tym trickiem, prawdziwy napastnik mógłby zwabić ofiarę na dowolną stronę, forum albo blog. Kiedy ofiara po odwiedzinach na pozornie niegroźnej stronie dokona przejścia pomiędzy kartami, aby zajrzeć na inną stronę, napastnik może podmienić zawartość podstawionego okna, umieszczając w jego miejscu np. sfałszowane okno logowania do poczty Google. Kliknięcie w inną kartę może być zasygnalizowane fałszywej stronie za pomocą JavaScriptu, dzięki któremu może również nastąpić podmiana wyświetlanej favikonki.
Adresu URL nie da się w ten sposób zmanipulować, ale i tak wielu użytkowników patrzy jedynie na opis karty. To, czy ofiara ma konto w Gmailu, napastnik może sprawdzić za pomocą metod History Stealing. Za pośrednictwem innych wyrafinowanych metod można nawet ustalić, czy w innym oknie nie jest już otwarta usługa poczty elektronicznej Google'a. To może dodatkowo podnieść skuteczność ataków, ponieważ ofiara nie będzie zaskoczona pojawiającym się nieoczekiwanie oknem logowania do Gmaila –. o ile tylko przeoczy wcześniej otwartą właściwą kartę z usługą poczty.
Skuteczność tej sztuczki jest różna i zależy też od przeglądarki: o ile w Firefoksie można podmienić zawartość strony oraz favikonkę dla danej karty, o tyle Internet Explorer 8 i Chrome 4 różnie reagują na próby manipulacji favikonką. W Chromie nie można jej zmienić po otwarciu karty, a Internet Explorer w teście redakcji heise Security miał zasadnicze problemy z favikonką Raskina i wyświetlał jedynie niebieskie "E". Jak uważa Raskin, przed tego typu atakami chronić może stosowanie np. zarządcy kont (account manager), który jest przygotowywany dla Firefoksa.
wydanie internetowe www.heise-online.pl
