Aza Raskin, un desarrollador de Mozilla, ha publicado un interesante artículo donde nos previene de una nueva posible forma de phishing o ingeniería social: El tabnabbing.
La idea de esta estafa cibernética es muy simple: Mientras el usuario explora la red abriendo múltiples pestañas en su navegador, una página maliciosa cambia su contenido mientras el usuario no está mirando. Para entenderlo bien, nada mejor que ver el siguiente vídeo.
Cuando el usuario no está visualizando la pestaña que contiene la web maliciosa, esta última aprovecha para cambiar su aspecto. En este ejemplo, cuando el usuario regresa a dicha pestaña, la página maliciosa tiene una apariencia similar a Gmail, lo que podría hacernos pensar que la sesión ha terminado por falta de actividad e inducir a más de uno de nosotros a introducir nuestro nombre de usuario y contraseña.
Fijaros que, aunque el aspecto de la página ha cambiado, la URL sigue siendo la misma, por lo que el engaño solo tendría éxito con usuarios de nivel limitado o si nos despistamos.
Este tipo de técnicas se pueden aplicar a diferentes tipos de web y su objetivo es el robo de contraseñas, datos bancarios, etc. Según Raskin, la mejor manera de evitar estos ataques sería cambiar a la autenticación basada en el navegador, que evitaría estas confusiones con URL falsas.
Ya sé que este tipo de entradas se desvía un poco de la temática habitual de Noticias Ubuntu, pero puesto que todos utilizamos navegadores con pestañas, me ha parecido oportuno compartirla.
En cualquier caso, es de agradecer que existan desarrolladores como Aza Raskin, los cuales se devanan los sesos para llamar nuestra atención sobre este tipo de cuestiones, incluso mucho antes de que a cualquier cracker del mundo se le haya ocurrido empezar a explotarlas.
De momento, esta técnica solamente funciona en Firefox y Google Chrome.
Vía | Genbeta
Más información | Aza Raskin
Vídeo | Vimeo
vaya curiosa tecnica…yo uso firefox y chrome….supongo que tendre mas cuidado..garcias. por la info.
a ver no entendí muy bien se supone que firefox las detecta?? o tien que hacer algo. y si solo sale esto para firefox ¿que se espera para IE? por cierto no uso IE
La demostración que nos presenta Aza Raskin es un caso hipotético, pero su idea es mostrar a los usuarios lo fácil que sería hacernos caer en una trampa como esta, aprovechando un despiste si tenemos muchas pestañas abiertas.
También nos comenta que si usaramos autenticación basada en navegador (es decir, que el navegador se identifique por ti automáticamente, ya que tiene los datos necesarios) esto no pasaría.
Respecto a IE8, Safari y Opera (en Mac), he leido en Genbeta que también les afectaría este “truco”, por llamarlo de algún modo.
Su idea no es alarmarnos, si no concienciarnos de que los navegadores y la red evolucionan, y que las técnicas de phishing no se van a quedar atrás…
En principio no hay que hacer nada. A los “buenos” se les ha ocurrido que en un futuro se podrían llevar a cabo estafas de este estilo y han querido compartir con nosotros la idea antes de que los “malos” empiecen a utilizarla, para que estemos espabilados.
Por tanto, moraleja: Fijarse bien en las URLs de las páginas donde vayamos a introducir datos personales, contraseñas, etc.