www.MegaLab.it

Ormai quasi tutti sappiamo cosa sia il phishing: una truffa finalizzata al furto dei nostri dati personali, coordinate di accesso al conto corrente e via dicendo.

Di solito la "pesca" degli ignari utenti avviene tramite una mail di un noto istituto di credito che, raccontandoci le scuse più disparate, chiede di inserire la nostra password in una pagina appositamente studiata per assomigliare in tutto e per tutto al sito reale.

Sono state indette svariate campagne di sensibilizzazione e sono stati costruiti vari siti per rendere conscio l'utente di queste truffe: un esempio è antiphishing.poste.it, un portale dedicato alla sicurezza online creato da Poste Italiane.

Il tabnabbing

La tecnica del tabnabbing è stata inventata nel 2010 da Aza Raskin, un imprenditore ed esperto nel campo dell'interazione umano-computer (HCI).

Tramite un Javascript, di cui in seguito illustrerò il funzionamento, un ipotetico truffatore potrebbe modificare il contenuto di una propria pagina web contenente informazioni interessanti e non malevole, in un inferfaccia di login dopo il cambiamento di un tab del browser.

Quanti di noi, sommersi dalle nostre quotidiane 10 o 15 tabs, dovendo scrivere una mail di fretta, fanno il login usando la prima che incontrano?

Noi, pensando che la nostra sessione su Gmail o Hotmail sia scaduta, inseriamo ignari le nostre credenziali e cadiamo nella trappola. Magari venendo reindirizzati al sito corretto per non destare sospetti nell'utente.

Un link che sfrutta questa tecnica può essere diffuso in molteplici modi: non più solamente per email, ma anche tramite social network come Facebook: ciò implica che dobbiamo stare molto più attenti.