Omar Alvarado González

Ya para muchos es frecuente oír hablar de phishing y de las consecuencias, que para la privacidad y muchas veces para nuestra economía, puede traer el hecho de caer en este tipo de trampas al ingresar datos personales en un sitio aparentemente de confianza, pero que en realidad es una falsificación del sitio original orientada exclusivamente a capturar la información que ingresemos.

Ahora, además de tener que lidiar con el phishing como lo conocemos, debemos estar atentos al TabNabbing que es un nuevo método, mucho más avanzado, ingenioso y posiblemente más efectivo a mi modo de ver, este fué descubierto por Aza Raskin y orienta el ataque a la facilidad de los navegadores actuales de tener múltiples pestañas abiertas.

¿Cómo funciona?

En el phishing convencional, el engaño se basa en ingeniería social para persuadir al usuario a que introduzca sus datos personales en un sitio web al que ha sido redireccionado luego de hacer click en algún link y que aparenta ser una web que es de confianza para el usuario.

Ahora, el TabNabbing se aprovecha de la costumbre de la mayoría de los usuarios de tener más de una pestaña abierta en el navegador, logrando que al entrar a un sitio web aparentemente inofensivo en una de dichas pestañas, se carguen con este rutinas en JavaScript que detectarán cuando el usuario cambie de pestaña, para automáticamente modificar su apariencia por la de un sitio web que es familiar pare él, por ejemplo Gmail y modificando tanto el contenido como el título de la página y hasta el favicon, logrando de esta manera confundir al usuario para que al volver a dicha pestaña y creyendo que está en la página real ingrese sus datos personales los cuales serán capturados por el atacante y que redireccionará la petición al sitio real al que está suplantando.

Esta técnica puede llegar a ser altamente efectiva teniendo en cuenta que al reemplazar el favicon, logra vulneral los patrones de comportamiento de los usuario en relación a este tipo de ayudas gráficas que permiten fácilmente relacionar cada pestaña con el sitio web específico que tienen cargado.

A New Type of Phishing Attack from Aza Raskin on Vimeo.

En su blog, Aza Raskin, nos describe detalladamente una prueba de concepto con Gmail, además de una serie de probabilidades para hacer más efectivo el ataque, que van desde detectar en el historial del navegador los sitios visitados por el usuario y lanzar el ataque con uno de esos sitios específicamente.