¡Cuidado con el "tabnabbing"! - タブナビングに注意しましょう！

"Tabnabbing" es un nuevo tipo de phishing recientemente descubierto por el desarrollador de Mozilla Firefox Aza Raskin. Es un ataque basado en JavaScript, que se aprovecha del hábito ya tan generalizado entre los internautas de tener varias pestañas del navegador de internet abiertas al mismo tiempo. Consiste en algo tan simple como modificar el título, favicon y contenido de una pestaña que se encuentra en segundo plano de tal forma que imite la página de login de algún servicio que utilice habitualmente la víctima, como Gmail, Facebook, Twitter... o peor aún, la página de su banco. La víctima, que no se habrá dado cuenta del cambio, pensará que su sesión ha expirado e introducirá de nuevo sus datos, con lo cual lo que habrá hecho será enviárselos al "hacker" de turno.

Esto ocurre tras haber visitado previamente alguna página preparada para llevar a cabo este ataque. Cuando la pestaña de esa página se deja en segundo plano por unos segundos (por haber pasado a mirar una página distinta en otra pestaña), automáticamente cambiará y el cebo ya estará tendido, esperando que el usuario lo muerda. Podéis ver vosotros mismos cómo funciona este ataque (de una manera inofensiva, no os preocupéis) en la noticia sobre el tema en el propio blog de Aza Raskin. Entrad en la página, luego cambiad de pestaña y navegad en otra web por unos segundos, y cuando volváis a la página de Raskin, podréis ver cómo el título de su pestaña y su contenido ha mutado en la página de login de Gmail (en ese caso una simple captura de pantalla, por lo que no hay peligro).

Aunque es posible darse cuenta rápidamente del engaño con sólo comprobar la URL (la cual no cambia, así que si en la página veis el login de Gmail pero la URL es, por ejemplo, "lapaginadepepito.com", sospechad), lo mejor es tomar medidas para que no pueda ejecutarse siquiera el ataque. La forma más drástica de hacerlo es deshabilitar por completo JavaScript, aunque naturalmente esto hará que muchas webs de las que vemos a diario no funcionen correctamente. La otra es, si somos usuarios de Mozilla Firefox, instalar la siempre recomendable extensión NoScript (para mí una de las imprescindibles de este navegador), con la cual impediremos que las webs ejecuten JavaScript a no ser que nosotros específicamente se lo permitamos (podemos dar permisos temporales o permanentes a las webs que nosotros decidamos, y revocarlos en todo momento). El último update de esta extensión ya está preparado para evitar estos ataques de tabnabbing.

Y, por supuesto, andarnos con sumo cuidado, vigilar en todo momento las pestañas que tenemos abiertas, y verificar la URL antes de meter nuesto login y contraseña en cualquier página que nos la pida.


「タブナビング」は、最近から発展している新しいフィシング攻撃です。Ｍｏｚｉｌｌａ　Ｆｉｒｅｆｏｘ，　Ｏｐｅｒａ，　 ＩｎｔｅｒｎｅｔＥｘｐｌｏｒｅｒ　の多くのユーザーは、よく色々なタブを明けて別々のサイトをサーフィングする習慣があります。　ある悪意のサイトに入って、そのタブがバッ クグラウンドになると、自動的にＧｍａｉｌや銀行口座のログインページのようなスクリーンに変更し、ユーザーがユーザーネームとパスコードを記入すると、 そのデータはハッカーに送信されるのです。

この攻撃を咲くのに、完全にＪａｖａｓｃｒｉｐｔを無効にしたほうがいい。　それとも、 ＦｉｒｅｆｏｘでＮｏＳｃｒｉｐｔをインストールしたほうがいい。　そのラスト・アップグレードはタブナビング攻撃防ぐことができます。　　

タ ブに気をつけましょう！