TabNabbing, una nueva y peligrosa forma de phishing


La mayoría estará familiarizado con el phishing, una técnica de ingeniería social que busca obtener datos sensibles (personales, tarjetas de crédito, etc) de su víctima, convenciéndola de ingresarlos en un formulario aparentemente benigno. Los navegadores y clientes de correo modernos son capaces de detectar gran parte de estas amenazas, pero es una carrera constante. Hoy estamos frente a una nueva evolución en esta materia: el TabNabbing.





Esta nueva denominación tiene los mismos principios: tratar de convencernos que estamos en un sitio web familiar a nosotros para que ingresemos nuestros datos de acceso, que obviamente serán recolectados para ser usados en nuestra contra o en beneficio ajeno. Para ello, el TabNabbing se aprovecha del hábito de tener varias pestañas abiertas a la vez en el navegador, entonces cuando entramos a un sitio web aparentemente normal (pero que es parte de esta estafa), el mismo esperará a que cambiemos de pestaña para modificar su ícono, título y contenido, y hacerse pasar por alguno de los sitios que usamos habitualmente (como nuestro correo, redes sociales, bancos, etc). Al volver a esta pestaña, veremos una pantalla para ingresar los datos de acceso y creeremos que es porque nuestra sesión expiró, aunque obviamente se trata del sitio hostil que tomó la forma de uno conocido para nosotros.

La naturaleza del ataque está en su ingeniosa ejecución, al esperar nuestro descuido y aprovechar todos los recursos que brinda JavaScript a la hora de manipular el contenido y la presentación de una página web. Técnicamente, no hay nada nuevo, aunque implementa soluciones interesantes como de la que les hablé en mi artículo sobre la privacidad, para ver nuestro historial de navegación y elegir un sitio que hayamos visitado recientemente, aumentando muchísimo sus posibilidades de éxito. La única forma de darnos cuenta que no estamos en el sitio correcto será prestando atención a la barra de direcciones, o revisando el código fuente, dos acciones poco comunes en el promedio de los usuarios de la web.

Lo importante es estar alertas y tratar de difundir lo más posible esta información, para evitar que les sea redituable a los estafadores, o nosotros mismos terminemos cayendo.

Pueden probar el TabNabbing en acción, visitando la web del programador que dio el grito de alerta sobre esta técnica, simplemente cambien de pestaña, interactuen con otro sitio por lo menos 5 segundos y regresen. Por ahora, la técnica funciona mejor en Firefox.
También pueden ver una demostración de TabNabbing en el siguiente vídeo:

Fuente Original: TensaiWeb

Fuente:
Por David Lima Cohen
http://alt1040.com



Otras noticias de interés:

Hashing Aleatorio: Firmas Digitales Seguras sin Resistencia a Colisiones
D. Hugo Krawczyk de IBM Research, Estados Unidos, investigador de reconocido prestigio internacional presentó en la conferencia El Día Internacional de la Seguridad de la Información DISI un tema por demas interesante relacionado con el Hashing al...
Ciberpirata infiltrado en portal pornográfico de Brazzers
Un ciberintruso dice haber accedido a la información personal de más de 350.000 usuarios, infiltrándose en un cibersitio en desuso operado por Brazzers, proveedor de pornografía....
Listo a jugar!!! World of Warcraft en Linux.
Las buenas noticias son que World of Warcraft (WoW) está completamente soportado por Transgaming. Puede ser que necesites un poco de ayuda con los remiendos y demás, en este sentido el foro de Transgaming es un gran recurso inmejorable. puedes enco...
Estudio realizado por la Universidad de Arizona revela que las oficinas tienen 400 veces más bateria
Teléfonos asquerosos y teclados infestados de gérmenes, cualquiera que tome la merienda en su puesto de trabajo puede estar comiendo más microbios de los que puede masticar. ...
Microsoft solucionará 49 vulnerabilidades!
Si ya los usuarios no tenían suficiente con los 23 parches que arregló Adobe esta última semana, ahora deberán concentrarse en su sistema operativo, ya que en su ciclo habitual de actualizaciones que publica Microsoft los segundos martes de cada ...
Publicada lista con los 25 errores de código más peligrosos
La mayoría de las vulnerabilidades que los hackers aprovechan para atacar sitios Web y servidores corporativos son generalmente el resultado de errores de programación comunes y bien conocidos. Para paliar este problema, un grupo de compañías ha ...
Múltiples vulnerabilidades en Apple QuickTime/iTunes
Han sido reportadas varias vulnerabilidades en Apple QuickTime, el popular reproductor del formato de video estándar de Apple utilizado también por Windows. ...
Desbordamiento de búfer en Windows Media Player (ASX)
Una vulnerabilidad recientemente descubierta en el reproductor Windows Media Player de Microsoft, podría ser utilizada por un atacante para la ejecución de código de forma remota, en el mismo contexto de seguridad del usuario actual....
Luces y sombras del cloud computing
Investigadores de la Universidad de Berkeley han realizado un estudio en el que analizan el cloud computing, del que consideran que es una gran oportunidad para sacar el máximo partido a los recursos tecnológicos. Eso sí, antes, los fabricantes de...
La estandarización del OOXML es una mierda.
El proceso fue una completa, total y auténtica mierda. Frase de Tim Bray, creador del XML que resume la semana de debate que se ha celebrado en Suiza. El prometido consenso ha sido un desastre, con 6 votos a favor, 4 votos en contra, 18 abstenciones...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • forma
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nueva
  • opensource
  • peligrosa
  • pgp
  • phishing
  • php
  • sabayon
  • seguridad
  • system
  • tabnabbing
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra