Aza Raskin, experto en diseño de interfaces del proveedor de Firefox, detectó un nuevo tipo de ataque de phishing conocido como tab napping, que aprovecha las múltiples pestañas que el usuario abre en su browser a la hora de navegar por la web.
Según Raskin, el phishing tradicional engaña a los usuarios haciéndoles clickear en una URL para que revelen sus datos personales en lo que piensan es una página web legítima.
Sin embargo, actualmente la mayoría de la gente conoce esta trampa y ya no ingresa en los enlaces de los correos que supuestamente proceden de un sitio incluso legítimo.
El proceso del tap napping aprovecha el hecho de que los usuarios de Internet están convencidos de que las páginas que se abren en pestañas permanecen invariables cuando se accede a otros servicios de Internet.
Sin embargo, un código JavaScript instalado en una página inocua puede hacer que cambie cuando el usuario no mira, porque está en otra pestaña, y mute a una página falsa donde pide al internauta que se registre.
El usuario apenas percibirá el cambio y asumirá que dejó abierta, por ejemplo, la página de inicio de Gmail y se volverá a loguear.
Además, el portal Scam Detectives advierte, que siempre que alguien se registra en una página web, sin importar que haya más pestañas abiertas en el navegador, los usuarios deberían comprobar la URL y que están utilizando una dirección HTTPS:// segura.
“Si la URL no es correcta o no hay ningún candado, cierre la pestaña, abra una nueva y escriba de nuevo la URL”, señala Charles Conway, editor de Scam Detectives. “E incluso mejor, cree una política para no dejar que las webs que requieran login seguro, se abran en otras pestañas”.
En este preciso momento tengo abiertas 11 pestañas, ¿Como hago para saber quien me está hackeando?
Es un chiste
#D
P.D.: lo de la cantidad de pestañas que tengo abiertas es cierto.
Saludos, KM.
Les recomiendo leer el libro la sociedad de control que es recomendado en la ultima edicion de users….inclusive alli esta el link de descarga…y sabran algo mas de como nos espian los grandes
Esto esta aca: http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/
Incluso en esa pagina esta el script para hacer eso, si dejan de naver esa pagina les va a aparecer el login de gmail, aunque solo es una imagen.
Creo que en IE no cambia el favicon.
En esta pagina dicen que el usuario creo que dejo abierta una pestaña de (GMAIL) por ejemplo y como esta casi seguro de eso la persona no se va a fijar en la URL.
@Alejandro: Mozilla NO ES LA BASE DE SAFARI NI DE CHROME (aunque Firefox está asociado a Stop Badware de Google, que identifica páginas maliciosas).
La cantidad de add-ons y plug-ins para FF dificilmente sea igualada por Safari o Chrome. Esta es una de las particularidades por la que muchos usuarios como yo seguiremos con el Zorrito hasta que algún navegador se le aproxime.
En tema de seguridad, si bien esos estudios chotos “pregonan” que FF está plagado de vulnerabilidades, Mozilla corrige constantemente sus bugs y, hasta ahora, no he tenido “ataques”. Además FF siempre me ha advertido correctamente de webs inseguras.
Otra cosa más es que al principio el NoScript puede ser molesto porque bloquea muchos elementos o código de las paginas web…pero eso se puede configurar es cuestión de observar bien ya que este complemento para el Firefox tiene reglas para recordar acciones para cada sitio de acuerdo a como lo configuren. No es muy difícil anímense.
Saludos a todos !!!
Estoy de acuerdo con Seba con NoScript para firefox se pueden evitar la mayoría de estos problemas y también acuérdense de mantener actualizado java y el sistema operativo y contar con antivirus decente para evitarse muchos problemas con la seguridad en la web
@ seba
mozilla es la base de Safari y de Google Chrome. Seguro hay algo, o se puede adaptar muy facilmente algo.
queda fuera IE…
Configurando correctamente NoScripts en FF se acaban éste tipo de problemas generados por scripts java.
“Configurarlo correctamente” me refiero a que no moleste bloqueando absolutamente todo en todas las páginas. Con unas dos semanas de uso éste plugin ya queda lo suficientemente bien adecuado como para que resulte prácticamente invisible para el usuario.
Desconozco si existe una versión de NoScripst para otros navegadores que no sea el de Mozilla.
Saludos!
No todas las webs tienen el HTTPS, de esta forma no podemos verlas a todas. La gente con ganas de hacer daño nunca se acaba..
Como se hace para crear una política de esta forma?