CyberGlossary

Ataques e ameaças

Tabnabbing

Também conhecido como: Reverse tabnabbing

Definição

Ataque em que um separador de fundo ou recém-aberto se reescreve em silêncio para parecer uma página de login legítima, na esperança de que o utilizador volte e introduza credenciais.

O tabnabbing tira partido do facto de separadores inativos serem pouco vigiados. Na variante clássica, JavaScript num separador abandonado pelo utilizador altera o título, o favicon e o conteúdo para imitar um serviço conhecido (webmail, banca); ao regressar, o utilizador acaba por inserir credenciais. O reverse tabnabbing explora links target="_blank": a página maliciosa aberta no novo separador usa window.opener para reescrever a URL do separador original e levá-lo a uma página de phishing. Os navegadores modernos aplicam por defeito rel="noopener" em target="_blank", mas código legado continua vulnerável. Defesas: rel="noopener noreferrer" em links externos, CSP, abrir URLs controlados pelo utilizador com noopener e sensibilizar para verificar a barra de URL ao mudar de separador.

Exemplos

  • Um separador deixado aberto reescreve-se silenciosamente para parecer a página de login do Gmail e pede uma palavra-passe.
  • Um link num comentário abre um novo separador e usa window.opener para redirecionar o separador original para um site de phishing.

Termos relacionados