2024 Autor: Peter John Melton | [email protected]. Última modificación: 2023-12-16 04:49
La mayoría de ustedes son conscientes de Suplantación de identidad, donde se inicia un proceso fraudulento con la intención de adquirir información confidencial como contraseñas y detalles de tarjetas de crédito, presentándose como una entidad legítima. Pero, ¿qué sucede si se encuentra en una página legítima y la página que ha estado buscando, cambia a una página fraudulenta, una vez que visita otra pestaña? Se llama Tabnabbing!
Cómo funciona Tabnabbing
- Usted navega a un sitio web genuino.
- Abre otra pestaña y navega por el otro sitio.
- Después de un tiempo vuelves a la primera pestaña.
- Recibirá nuevos detalles de inicio de sesión, tal vez a su cuenta de Gmail.
- ¡Inicia sesión nuevamente sin sospechar que la página, incluido el favicon, haya cambiado a tus espaldas!
Todo esto se puede hacer con solo un poco de JavaScript que tiene lugar al instante. A medida que el usuario escanea sus muchas pestañas abiertas, el favicon y el título actúan como una señal visual fuerte: la memoria es maleable y moldeable y lo más probable es que el usuario piense que dejó una pestaña de Gmail abierta. Cuando vuelvan a hacer clic en la pestaña falsa de Gmail, verán la página de inicio de sesión estándar de Gmail, asumirán que se han desconectado y proporcionarán sus credenciales para iniciar sesión.
El ataque se aprovecha de la inmutabilidad percibida de las pestañas. Una vez que el usuario haya ingresado su información de inicio de sesión y la haya enviado de vuelta a su servidor, los redireccionará a Gmail. Debido a que nunca se desconectaron en primer lugar, aparecerá como si el inicio de sesión fue exitoso.
Usted visita una página web, cambia a otra pestaña y, detrás de su espalda, ¡su primera página habrá cambiado!
Invertir Tabnabbing
Se produce Tabnabbing inverso que utiliza el atacante window.opener.location.assign () para reemplazar la pestaña de fondo con un documento malicioso. Por supuesto, esta acción también cambia la barra de direcciones de la pestaña de fondo, pero el atacante espera que la víctima esté menos atenta e ingrese a ciegas su contraseña u otra información confidencial cuando regrese a la tarea de fondo, dice Google.
Una salida sería si todos los propietarios del sitio usaran la siguiente etiqueta:
target='_blank' rel='noopener noreferrer'
Para evitar que esta vulnerabilidad sea explotada, WordPress ha comenzado a agregar etiquetas noopener noreferrer automáticamente ahora.
Ahora eche un vistazo a las estafas de spear phishing, caza de ballenas, vishing y smishing.
Recomendado:
¿Qué son los ataques de denegación de servicio y DDoS?
Los ataques DoS (denegación de servicio) y DDoS (denegación distribuida de servicio) son cada vez más comunes y potentes. Los ataques de denegación de servicio vienen en muchas formas, pero comparten un propósito común: impedir que los usuarios accedan a un recurso, ya sea una página web, correo electrónico, la red telefónica o cualquier otra cosa por completo. Veamos los tipos más comunes de ataques contra objetivos web y cómo DoS puede convertirse en DDoS.
¿Qué es SHAttered? Ataques de colisión SHA-1, explicados
El primer día de 2016, Mozilla finalizó el soporte para una tecnología de seguridad debilitada llamada SHA-1 en el navegador web Firefox. Casi inmediatamente, revirtieron su decisión, ya que cortaría el acceso a algunos sitios web más antiguos. Pero en febrero de 2017, sus temores finalmente se hicieron realidad: los investigadores rompieron el SHA-1 al crear el primer ataque de colisión en el mundo real. Esto es lo que significa todo eso.
7 maneras de proteger su navegador web contra ataques
Su navegador web está bajo ataque. Además de engañarlo para que descargue y ejecute software malintencionado, los atacantes se enfocan principalmente en fallas en su navegador y sus complementos para comprometer su PC.
¿Qué es el phishing y cómo identificar los ataques de phishing?
Esta publicación aumentará su conocimiento de Phishing, ya que le indicará cómo evitar los ataques de Phishing y cómo mantenerse en línea. Tipos y características de los ataques de phishing también se discuten.
Cómo evitar las estafas y ataques de phishing
Consejos y recomendaciones sobre cómo evitar las estafas y ataques de phishing en Internet.