Tabnabbing
O que é Tabnabbing?
TabnabbingAtaque em que um separador de fundo ou recém-aberto se reescreve em silêncio para parecer uma página de login legítima, na esperança de que o utilizador volte e introduza credenciais.
O tabnabbing tira partido do facto de separadores inativos serem pouco vigiados. Na variante clássica, JavaScript num separador abandonado pelo utilizador altera o título, o favicon e o conteúdo para imitar um serviço conhecido (webmail, banca); ao regressar, o utilizador acaba por inserir credenciais. O reverse tabnabbing explora links target="_blank": a página maliciosa aberta no novo separador usa window.opener para reescrever a URL do separador original e levá-lo a uma página de phishing. Os navegadores modernos aplicam por defeito rel="noopener" em target="_blank", mas código legado continua vulnerável. Defesas: rel="noopener noreferrer" em links externos, CSP, abrir URLs controlados pelo utilizador com noopener e sensibilizar para verificar a barra de URL ao mudar de separador.
● Exemplos
- 01
Um separador deixado aberto reescreve-se silenciosamente para parecer a página de login do Gmail e pede uma palavra-passe.
- 02
Um link num comentário abre um novo separador e usa window.opener para redirecionar o separador original para um site de phishing.
● Perguntas frequentes
O que é Tabnabbing?
Ataque em que um separador de fundo ou recém-aberto se reescreve em silêncio para parecer uma página de login legítima, na esperança de que o utilizador volte e introduza credenciais. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Tabnabbing?
Ataque em que um separador de fundo ou recém-aberto se reescreve em silêncio para parecer uma página de login legítima, na esperança de que o utilizador volte e introduza credenciais.
Como se defender contra Tabnabbing?
As defesas contra Tabnabbing costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Tabnabbing?
Nomes alternativos comuns: Reverse tabnabbing.