A rutinos netezőket is átveri az új adathalász trükk

Tabnabbingnak hívják a legújabb webes támadási formát. A módszer hasonló a banki adathalászok által felépített hamis oldalas trükkre, ám ehhez nem kell kéretlen emailek millióit kiküldeni a leendő áldozatoknak. Elég feltörni egy ismert oldalt - vagy az oda beágyazott widgetek valamelyikét - és beilleszteni egy kódot, ami Javascript segítségével lecseréli az oldal tartalmát, címét és kis ikonját valamelyik webes szolgáltatás belépőképernyőjére.

A feledékeny felhasználó a böngészőfülre visszatérve valószínűleg begépeli az azonosítóját és jelszavát, hiszen egy által megnyitott, majd későbbre otthagyott oldal nem lehet veszélyes. Amikor a felhasználó megadta a támadónak a belépési adatait, az oldal továbbirányíthatja az eredetileg vágyott webcímre, így egy darabig el lehet leplezni az adatlopást.

Valóban bedőlünk a hazugságnak

A rendkívül egyszerű trükk remekül működik. A Raskin által összerakott demonstrációs oldalnak magunk is áldozatul estünk néhányszor, mikor megpróbáltunk belépni az érthetetlen módon feltűnő Gmail ablakba. A támadás kivédésére célszerű megoldás lenne a Javascript támogatás kikapcsolása a böngészőkben, de mivel a legtöbb nap mint nap használt webes szolgáltatás erre a funkcióra támaszkodik, igen kényelmetlen lenne nélküle az élet. Raskin szerint a lankadatlan éberség mellett az lehet megoldás, ha a következő generációs böngészők részt vesznek a felhasználó azonosításában, nem csak a jelszó védi a banki adatokat, magánleveleket.

A támadás minden elterjedt böngészőben működik, ám nem azonos hatékonysággal. A Chrome-ban és az Internet Explorerben megnyitott példaoldalon az címsorban megjelenő kis ikont nem tudta lecserélni a kód, azonban az oldal neve itt is megváltozott. Nincs kétségünk afelől, hogy a támadók tudják még tökéletesíteni majd a módszert úgy, hogy mindenen működjön.