nrk.no

Det siste innan phishing: Tabnabbing

Kategori: Internett

Phishing av PayPal-konto
Bildet er henta frå Flickr og har ein Creative Commons lisens

Dei siste åra har såkalla «phishing-angrep» blitt meir og meir utbreidd. Ordet «phishing» kjem frå det engelske «fishing», og tydar akkurat dét: Å fiske etter informasjon – ofte sensitiv informasjon – som kredittkortnummer, brukarnamn og passord.

Phishing av PayPal-konto

Korleis eit tradisjonelt phishing-angrep fungerar

Ein vanleg taktikk er å sende deg ein epost, der ein utgjev seg for å vere ei teneste du brukar. PayPal er ei teneste som har blitt mykje utsatt for phishing, då brukarane ofte har kredittkorta sine lagra i systemet.

Du kan då motta ein epost kor det f.eks. står at kontoen din har blitt satt inaktiv, og at du må logge inn på nytt for å sikre at kontoen ikkje vert sletta. I eposten er det også supplert ei lenkje med teksten «Log on to your PayPal account». Når du så trykkjer på denne lenkja blir du sendt til ei side som til forveksling er identisk med den tradisjonelle påloggingssida til PayPal. Einaste forskjellen kan vere at URL-en i adressefeltet er http://paypal2.com/ i staden for http://paypal.com/. Når du så fyller inn brukarnamn og passord, blir dette ikkje sendt til PayPal, men til fiskarane i staden.

Tabnabbing

Tabnabbing er det siste som har kome ut i frå «phishing-verda». I staden for at du via ein epost får servert ei lenkje, utnyttar tabnabbing fiffig JavaScript-funksjonalitet som er tilstades i dei fleste av dagens nettlesarar.

La oss seie at du søkjer etter «plywood» på Google. Du finn så ein lang artikkel om kryssfinér, og bestemmer deg for å ha fana oppe, slik at du lett kan finne fram seinare, når du vil lese. Du hoppar tilbake til f.eks. NRK.no, og les ei sak der. Når du etter kvart prøver å finne fram til artikkelen om kryssfinér, er den ingen stad å sjå. I staden står det no «Gmail: Email from Google» i fanelinja di, og nettsida du blir presentert med er identisk med den du er så vant til å sjå.

Sida har rett og slett lagt merke til at du har hatt fokus på ei anna fane, og i mellomtida bytta ut både tittellinja, nettstadsikonet og innhaldet med ei teneste som dei via CSS History Hack veit at du brukar.

Aza Raskin legg i bloggen sin fram teknikken bak dette angrepet på ein veldig lettleseleg måte, og har i tillegg både laga ein video for å demonstrere, samt implementert teknikken. Så om du besøkjer «A New Type of Phishing Attack, hopper tilbake hit i nokre sekunder, og så går tilbake, vil du bli presentert med ein overraskelse. 🙂

18 kommentarer

  1. Fascinerende. Har ikke selv hørt om den type phising-angrep før, så kjekt å bli oppdatert 🙂

    For brukere som ligger litt over gjennomsnittet så vil ikke dette utgjøre noen særlig større trussel enn et vanlig phising-angrep (for du sjekker vel adressen i adresselinja, samt at sider for innlogging går over https, ikke sant ;), men for den vanlige Ola/Kari Normann (og enhver mamma/pappa, gammel onkel og tante osv.) kan dette absolutt være en trussel.

    Viser jo også fordelen av å kjøre add-ons som f.eks. NoScript for Firefox. Dessverre er jo også dette noe som for de fleste gjennomsnittsbrukere vil være mer til bry enn hva de ser nytten av…

    Svar på denne kommentaren

    • Ole K (svar til Ole K)

      Savner muligheten til å kunne editere mitt eget innlegg i noen minutter etter publisering for enkel korrektur etc… 🙂 Siste avsnittet skulle være:

      Viser jo også fordelen av å kjøre add-ons som f.eks. NoScript for Firefox. Dessverre er jo også dette noe som for de fleste gjennomsnittsbrukere vil være mer til bry enn hva de ser nytten av…

    • Ole K (svar til Ole K)

      Ja, her ble det mye mas fra meg… Ser ut som at de HTML-elementene som er oppgitt skal fungere ikke er helt på stell likevel… Jeg prøver å lage en link med tittelen «NoScript» som skal peke til «https://addons.mozilla.org/en-US/firefox/addon/722/», men det ble rot med formateringen. Dobbelsjekket i den første kommentaren at jeg gjorde det riktig da, men ble tull likevel.

    • Henrik Lied (NRK) (svar til Ole K)

      Hei, Ole!

      Det skal ikkje vere problematisk å bruke HTML-elementa spesifisert nedanfor. No har eg uansett ordna det for deg. 🙂

    • Takk for det Henrik.

      Nå er jeg nesten 100% sikker på at jeg gjorde det rett både den første og andre gangen, men man skal vel ikke utelukke PEBKAC helt heller 🙂

    • Hos meg ble den første stoppet av NoScript og firefox stoppet den uten javascript med spørsmål om jeg ville tillate å omdirigere til en ny side.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.