Tabnabbing

Tabnabbing ist eine vom Web-Entwickler Aza Raskin, dem Sohn des User-Interface-Designers Jef Raskin, entdeckte Phishing-Methode, bei der beim Verlassen eines Tabs mittels JavaScript der komplette Seiteninhalt sowie das Favicon und der Titel einer Webseite verändert werden, um den Benutzer zu täuschen. Der Benutzer soll denken, er hätte die Seite aufgerufen, weshalb er die URL nicht überprüft. Daraufhin gibt er im Glauben, er sei auf der echten Website, seine privaten Daten ein.

Vorgehensweise

Der Benutzer öffnet eine normale Website, auf der ein solches JavaScript im Hintergrund ausgeführt wird. Sobald der aktuelle Tab im Webbrowser den Fokus für eine bestimmte Zeit verliert, werden das Favicon der Website, der Titel und der gesamte Inhalt der Seite verändert. Durch das nicht eintretende Neuladen wird der Benutzer getäuscht und denkt, er selbst habe die Website angesteuert. Er trägt möglicherweise in den neuen Inhalt der Seite, der in diesem Fall ein Phishing-Formular enthält, seine sensiblen Daten ein. Seine Daten werden abgespeichert und er wird anschließend auf die eigentliche Login-Seite weitergeleitet.

Erweiterbarkeit durch History Stealing

History-Stealing-Verfahren

Beim History Stealing macht sich der Angreifer die Art und Weise zunutze, wie der Webbrowser speichert, ob ein Benutzer schon einmal einem Link gefolgt ist. Bereits angeklickte Links werden farblich anders dargestellt, als Links, denen man noch nicht gefolgt ist. Die Farbe wird durch eine Änderung im Stylesheet (CSS) des HTML-Dokuments bewirkt, die der Webbrowser als Attribute in der History speichert. Beim History-Stealing-Verfahren wird die im Browser angelegte History durch ein JavaScript ausgelesen. Diese Daten können nun dazu verwendet werden, die meistbesuchte Seite mit Hilfe des Tabnabbing durch ein Phishing-Formular zu tauschen. Das kann die Erfolgsquote eines Angriffs erhöhen, weil das Opfer (Benutzer) nicht von einem unbekannten Login-Fenster überrascht ist.

Diese Sicherheitslücke ist im Frühjahr des Jahres 2011 von den meisten Browserherstellern geschlossen worden.^[1]

Einzelnachweise

1. ↑ http://dbaron.org/mozilla/visited-privacy

Weblinks

• Heise.de – Phishing per Browser-Tabs
• Azarask.in – Tabnabbing: A New Type of Phishing Attack (englisch)
• Chip.de – TabNabbing: Fieser Phishing-Angriff per Browser-Tab
• Beispiel-Video von Aza Raskin (englisch)
• History Stealing 2.0: Ich weiß, wo du wohnst
• Testen Sie, ob in Ihrem Browser die Sicherheitslücke "History Stealing Hack" geschlossen ist.