חוקר האבטחה Aza Raskin מהבלוג: Azarask.in פרסום הבוקר סוג חדש של מתקפת Phishing. הרעיון פשוט מאוד אך גאוני. הרעיון העומד מאחורי המתקפה הוא פשוט מאוד ומנצל את טכנולוגיות ה-“Tabbing” שבה (כמעט?) כולנו משתמשים לשם הנוחות.
ברב, אם לא בכל דפדפני האינטרנט המרכזיים ניתן לגלוש במספר אתרים בו-זמנית דרך חלון אפליקציה אחד ע”י שימוש בחוצץ (Tab) נפרד לכל עמוד, ואני מאמין שגם ברגעים אלה, העמוד בו אתם קוראים הוא חוצץ אחד מבין לפחות חמישה חוצצים בדפדפן האינטרנט שלכם.
הרעיון שהציג ראסקין פועל באופן הבא: אתם גולשים כרגע בעמוד ה-Gmail שלכם ובמקביל נכנסים לאתר הנשלט בידי התוקף, האתר הנשלט בידי התוקף מציג תוכן לגיטימי כגון כתבה מעניינת בנושא מצב החסה בשטחים. העמוד הנ”ל מכיל קוד Javascript שמזהה את האירוע: “window.onblur” - אירוע אשר מופעל בעת הורדת הפוקוס מחלון האתר. ברגע זה, קוד ה-Javascript מבצע מספר פעולות:
- משנה את תמונת ה-Favicon (התמונה הקטנה שאתם רואים ליד שמו של האתר בראש החוצץ) לתמונת ה-Favicon של Gmail.
- כמובן גם את ה-TITLE של העמוד.
- משנה את תוכן העמוד לעמוד Phishing של Gmail.
ברגע שתרצו לגשת לחשבון ה-Gmail שלכם, תעברו על החוצצים שלכם בדפדפן ותחפשו את החוצץ השייך ל-Gmail. כאן יש סיכוי של 50-50 אם תלחצו על החוצץ של ה-Gmail המקורי או על החוצץ אשר מציג לכם עמוד Phishing של עמוד ההזדהות ל-Gmail. ולא צריך להמשיך לספר מה יקרה במידה והקורבן יבחר ב-50 אחוז הלא נכונים :)
לדעתי מדובר ברעיון מאוד מבריק, מפני שהסיכויים שבאמת תסתכלו על שורת ה-URL לאחר שלחצתם על החוצץ קטן יחסית- מפני שרב האנשים מסתכלים על ה-URL ברגע שהם נכנסים לאתר, ולא לאחר מכן.
את ה-PoC של ראסקין אפשר למצוא ממש בעמוד שבו הוא פרסם את פרטי המתקפה:
http://www.azarask.in/blog/post/a-new-type-of-phishing-attack
(יש להיכנס לעמוד, לעבור לחוצץ אחר, לחכות 5 שניות ולחזור בחזרה לעמוד המאמר). ואת קוד ה-Javascript המבצע את המהלך, ניתן להוריד מכאן:
http://www.azarask.in/projects/bgattack.js
אגב, את המתקפה ראסקין מכנה: “Tabnabbing”.
סרטון המדגים את המתקפה ניתן לראות כאן:
A New Type of Phishing Attack from Aza Raskin on Vimeo.
ראסקין מציע שילוב של המתקפה הנ”ל עם המתקפה שהציג ג’רמאיה ב-2006 (בפוסט “I Know Where Youve Been”) של מציאת דפי האינטרנט שבהם המשתמש ביקר לאחרונה ע”י הצגתם ב-IFRAME בלתי נראה ובדיקת צבעם (המתקפה מבוססת על כך שהדפדפנים מציגים בצבעים שונים את הלינקים בהם ביקרתם ובהם עוד לא ביקרתם). וכך ניתן לדעת האם הקורבן משתמש ב-Gmail, משתמש ב-Yahoo או משתמש בעצם בכל אתר אחר שאליו ניתן להתחקות. את ה-PoC אפשר למצוא כאן:
http://ha.ckers.org/weird/CSS-history-hack.html
אכן שילוב קטלני.