Która przeglądarka chroni przed phishingiem? Żadna - "winne" karty

Bez względu na to, czy twoja przeglądarka internetowa to Firefox, Chrome, Opera, Internet Explorer czy Safari, możesz być narażony na tzw. tabnapping - nowy typ ataku phishingowego. Oszust może wykorzystać fakt, że przeglądasz strony WWW na wielu kartach.

Aza Raskin z Mozilli opisał nową taktykę, która mogłaby zostać wykorzystana przez cyberoszustów do kradzieży danych użytkownika. Polega ona na tym, że celem ataku jest osoba otwierająca liczne karty w swojej przeglądarce.

Raskin zwraca uwagę, że kilka lub kilkanaście otwartych jednocześnie w przeglądarce kart zachowujemy przez długi czas. Ponieważ możemy obserwować tylko to co dzieje się na aktualnie wyświetlanej karcie, w tym samym czasie oszust mógłby podmienić zawartość kart nieaktywnych.

Gdy użytkownik spogląda na pasek kart w przeglądarce, korzysta z widocznych na nim tytułów stron i "favicon" do orientacji i identyfikacji stron, jakie wcześniej otworzył - podkreśla przedstawiciel Mozilli. Tym sposobem, widząc na karcie nazwę Gmail i logotyp poczty Google'a, będzie przekonany, że kilkadziesiąt minut wcześniej próbował logować się do swojego konta e-mail i że klikając tę kartę otworzy stronę logowania.

Może to być jednak witryna podszywająca się pod usługę pocztową, podmieniona w czasie, gdy użytkownik był zajęty przeglądaniem zawartości innych kart. Cyberprzestępca mógłby ustalić, które karty nie były od dłuższego czasu odświeżane i zastąpić ich zawartość za pomocą prostego kodu JavaScript - wystarczy wcześniej przechwycić historię najczęściej odwiedzanych przez internautę stron WWW, by precyzyjnie sprofilować atak.

Paradoksalnie, najbardziej podatne na tego typu atak mogą okazać się te witryny, które mają określoną długość sesji i wymagają od użytkownika ponownej autoryzacji po upływie danego czasu - np. strony internetowe banków.

Technikę tę Raskin określił jako "tabnapping" (czyli "tab kidnapping", co dosłownie oznacza "porywanie kart"). Przykład jej działania można zobaczyć na blogu Raskina oraz na poniższym wideo:

Skuteczna metoda obrony

Czy istnieje efektywny sposób, by się chronić przed tego typu oszustwami? Zapytaliśmy o to Zbigniewa Branieckiego, rzecznika Mozilli na Europę Centralną i Wschodnią.

Zbigniew Braniecki: Problem polega na tym, że ten typ ataku jest zupełnie nowym podejściem. Można dość łatwo wprowadzić obronę przed tym dokładnie przykładem, który pokazał np. Aza Raskin z Mozilli, ale to nie będzie obrona przed wszystkimi potencjalnymi atakami tego typu. Koncepcja opiera się na założeniu, że ludzki umysł nie jest w stanie kontrolować położenia oraz listy stron jakie ma otwarte, więc można manipulować stronami które są w niewidocznych kartach/oknach i jest spora szansa, że użytkownik nie zauważy, że coś jest nie tak.

To bardzo szerokie spektrum do ataku. Myślę, że autorzy przeglądarek będą teraz starali się ograniczyć możliwość manipulowania kompletną stroną, ale taki sposób obrony nie będzie raczej skuteczny, ponieważ ten atak nie wymaga "kompletności" - może się udać nawet jeśli podmienimy tylko większość elementów rozpoznawczych strony.

W tym momencie istnieje sposób obrony polegający na obserwacji ikony danych strony (w Firefoksie znajdującej się po lewej stronie paska adresu), ale to dość wymagająca metoda.

PC World: Czy w taki razie pojawienie się w Firefoksie 4 funkcji Account Manager wzmocni odporność przeglądarki na phishing?

Mamy taką nadzieję. Menedżer Kont ma za zadanie wprowadzić nowy poziom ochrony przed tego rodzaju atakami poprzez automatyzację logowania. Firefox sam będzie weryfikował, czy strona do której ma być podane nasze hasło jest faktycznie tą stroną, na której konto założyliśmy. W ten sposób wiele ataków phishingowych (bazujących na nakłonieniu użytkownika do podania hasła do jednej strony na stronie podmienionej) nie będzie działać.

Aktualizacja: 26 maja 2010 14:24

Artykuł został zaktualizowany o komentarz Zbigniewa Branieckiego z Mozilli.