Фишинг с подменой вкладки в браузере

Новая концепция фишинговой атаки, которую обрисовал разработчик из Mozilla Аза Раскин (Aza Raskin), делает ставку на невнимательность пользователя и подспудную веру в неприкосновенность страниц, открытых в окне обозревателя.

Ключевым элементом атаки является javacript-код, внедренный в веб-страницу. Если пользователь, путешествуя по интернету, попадает на нее, зловредный скрипт незаметно меняет одну из вкладок в браузере, включая значок сайта (фавикон), описание и содержимое самой страницы. Подмена происходит не сразу, а по истечении некоторого времени, когда пользователь уже ушел с зараженной страницы. Изменения вносятся в ту вкладку, к которой давно не обращались.

Вернувшись к этой вкладке, пользователь видит копию страницы регистрации одного из ресурсов, которые он часто посещает (например, вход в почтовый ящик). При обилии вкладок он может забыть, что уже авторизовался на этом сайте, и ввести на подставной странице идентификаторы, которые затем отправятся прямиком на сервер злоумышленника. При таком способе атаки фишеру даже не надо менять адрес в строке браузера.

Данная разновидность фишинга допускает проведение таргетированных атак, если подмена вкладки будет соответствовать регулярным запросам потенциальной жертвы. В этом случае пользователю предъявляется копия страницы авторизации конкретного банка, социальной сети, почтового сервиса, электронного кошелька и т.п. Если злоумышленник выяснит, к каким сервисам подключен его объект в момент нападения, его шансы на успех возрастут. В качестве поддельной страницы он получит возможность выводить убедительное сообщение, что интервал ожидания истек и для доступа необходимо произвести повторную авторизацию. После кражи идентификаторов пользователя можно перенаправить на соответствующий сервис, благо он с него и не выходил.

Разумеется, данный способ фишинговой атаки может сработать только в том случае, если у пользователя открыто несколько вкладок и нет запрета на исполнение javascript-кода на зараженной странице.