www.MegaLab.it

Premettendo che questo stratagemma non è utilizzato per ora dai phisher (vedi paragrafo Conclusioni), vorrei analizzare come è possibile contrastare questa tecnica.

Come difendersi?

• Stiamo molto attenti ai link che ci vengono proposti sui social network e nelle chat: possiamo sopravvivere anche se non vediamo l'ultimo filmato di un cane che fa surf, mentre un furto dei nostri dati personali sarebbe più problematico.
• Diffidiamo di qualsiasi mail sospetta, se non siamo pienamente sicuri che il mittente sia una persona da noi conosciuta; chiedere una conferma non è una cattiva idea.
• Controlliamo sempre l'indirizzo inserito nella relativa barra: se esso non corrisponde ai contenuti del sito, ad esempio un logo di Gmail su un sito che non ha nemmeno https e con un dominio di primo livello inusuale (come *.cc, *.info), è molto probabile che siamo appena stati vittima di tabnabbing.
• Se usiamo Firefox, installiamo NoScript: attivato, previene tutti gli effetti.

Conclusioni

Questa tecnica ha tutto il potenziale per creare una nuova forma di phishing: come già detto, le pagine che ci vengono proposte all'inizio non sembrano malevole, ma basta uno semplice script per creare una trappola molto ingegnosa.

Sono in corso perfezionamenti della tecnica, come l'utilizzo di iframes per reindirizzare l'utente anche cliccando link interni alla pagina: questo è un filmato dimostrativo.

Finora non sono state trovate pagine malevole che sfruttano il tabnabbing, sia per la relativa complessità della creazione della pagina ad hoc, sia perché la localizzazione in italiano richiede del tempo; ma non è escluso che in un futuro prossimo le esche in mano ai phisher saranno di più.

Non abboccate!