Tabnabbing
Что такое Tabnabbing?
TabnabbingАтака, при которой фоновая или недавно открытая вкладка тайно перерисовывает себя как доверенная страница входа, рассчитывая, что пользователь введёт учётные данные ещё раз.
Tabnabbing использует то, что неактивные вкладки редко проверяют. В классическом варианте JavaScript во вкладке, с которой пользователь ушёл, меняет заголовок, фавикон и содержимое, имитируя знакомый сервис (веб-почта, банк); вернувшись, пользователь скорее всего введёт пароль. В реверс-варианте используется target="_blank": вредоносная страница в новой вкладке через window.opener переписывает URL исходной вкладки на фишинговый. Современные браузеры по умолчанию ставят rel="noopener" на target="_blank", но устаревший код по-прежнему уязвим. Защита: rel="noopener noreferrer" на исходящих ссылках, CSP, открытие пользовательских URL с noopener и обучение пользователей проверять адресную строку после переключения вкладок.
● Примеры
- 01
Оставленная открытой вкладка тихо превращается в страницу входа Gmail и запрашивает пароль.
- 02
Ссылка в комментарии открывает новую вкладку и через window.opener перенаправляет исходную вкладку пользователя на фишинговый сайт.
● Частые вопросы
Что такое Tabnabbing?
Атака, при которой фоновая или недавно открытая вкладка тайно перерисовывает себя как доверенная страница входа, рассчитывая, что пользователь введёт учётные данные ещё раз. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Tabnabbing?
Атака, при которой фоновая или недавно открытая вкладка тайно перерисовывает себя как доверенная страница входа, рассчитывая, что пользователь введёт учётные данные ещё раз.
Как защититься от Tabnabbing?
Защита от Tabnabbing обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Tabnabbing?
Распространённые альтернативные названия: Reverse tabnabbing.