sabato 21 aprile 2012

Navigate con tante schede aperte?
Navigate with many tabs open?

Attenti all'attacco "Tabnabbing"
Beware the attack "Tabnabbing"

L'attacco hacker di questo tipo è relativamente poco diffuso, e per questo può trarre in inganno anche utenti più esperti.
The hacker attack of this type is relatively rare, and this can mislead even experienced users.

In sostanza quello che fa il criminale è attirare l'utente su una pagina web attraverso un link, proprio come nei normali attacchi phishing.
Basically what it does the criminal is to attract the user to a web page through a link, just as in normal phishing attacks.


Questa pagina non chiede dati di accesso, ma offre dei contenuti a volte ben confezionati, che inducono l'utente a non chiudere la scheda, magari per guardarla in un secondo momento, ma ad aprirne un'altra per continuare la navigazione verso altri percorsi.
This page does not require login, but it offers content packaged well at times, which cause the user not to close the tab, perhaps to watch it later, but to open another to continue browsing to other routes.

E' qui che entra il gioco il "tabnabbing", ovvero attraverso un codice eseguito da quella pagina, l'utente distratto dalla nuova scheda che sta guardando non presterà attenzione alla vecchia, che nel frattempo si è trasformata: assumendo magari l'aspetto di una pagina di accesso alla posta elettronica o altri servizi protetti, cambiando addirittura la "favicon", l'icona che contraddistingue la pagina sulla scheda e nella barra dell'indirizzo.
And 'here that comes into play "tabnabbing", or run through a code from that page, you are distracted by the new board that is looking not pay attention to the old, in the meantime has become: even assuming the appearance of a page of e-mail access or other services protected, even changing the "favicon", the icon that marks the page tab and address bar.

Un vero colpo da maestro per il cybercriminale, che a quel punto non deve fare altro che attendere che l'utente inserisca i suoi dati (veri) nella pagina web mutante (e falsa).
A true master stroke for cybercriminals, who then has to do is wait for you to enter your data (real) web page in the mutant (and false).

A quel punto il gioco è fatto.
At the point the game is done.

source la Repubblica.it