14 jun. 2016

Jugar con las pestañas del navegador para engañar al usuario (phishing avanzado)

El phishing tradicional funciona principalmente enviando a los usuarios un correo con un enlace que, si pinchan, les redireccionará a un sitio malicioso, normalmente una web falsa que se hace pasar por otra legítima. Pero, ¿y si la redirección al sitio falso se produce de forma inadvertida en una de las múltiples pestañas abiertas en el navegador?

Hoy vamos a ver dos formas ingeniosas para conseguirlo. La primera denominada "Windows Hijacking" que establecerá un contador al abrir una pestaña que una vez llegue a 0 cambiará la localización a la página fraudulenta. La segunda llamada "Tap Nabbing" hará se cambie el contenido igualmente pero en otra pestaña que el usuario no está viendo en ese momento. De esa forma cuando el usuario vuelva a la pestaña creerá que la dejó abierta (por ej. Gmail) y se volverá a loguear.

Window Hijacking

Es sabido que configurar un tag con un atributo como _blank tiene ciertos riesgos de seguridad: https://mathiasbynens.github.io/rel-noopener/
Esto es debido a que una nueva página abierta tiene la capacidad de cambiar la ubicación de la ventana (windows location) con lo siguiente:
window.opener.location = "https://google.com"

Tap Nabbing

Las pestañas o ventanas abiertas utilizando JavaScript o target = "_blank" aunque limitado tienen acceso a la ventana padre, haciendo caso omiso de las restricciones de cross-origin. Entre ellos la capacidad de redirigir la pestaña padre o de la ventana usando window.opener.location.

Si bien ésto puede parecer inofensivo, es posible realizar un ataque de phishing cuando las aplicaciones web permiten o hacen uso de anchors con target="_blank" o window.open().

Continuar leyendo en fuente original HackPlayers

Fuentes:

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!