Az elővigyázatos internethasználók mindegyike hallott már az adathalászat fogalmáról. Adathalászatnak az eljárást nevezzük, amikor egy internetes csaló oldal egy jól ismert cég hivatalos weboldalának láttatja magát és megpróbál bizonyos személyes adatokat, például azonosítót, jelszót, bankkártyaszámot stb. illetéktelenül megszerezni. Az adathalász oldal kinézete megegyezik a hivatalos weboldal kinézetével, csak éppen nem feldolgozza a begépelt adatainkat, hanem lementi azokat.

Az egyetlen kritikus tényező a webcím. Ha például kapunk egy e-mailt és abban az áll, hogy "Bankunknál adatvesztés történt, kérjük látogasson el xyz címre, és adja meg újra - bejelentkezés után - az adatait" akkor az egyetlen mód, hogy felismerjük az oldal adathalász mivoltát a webcím. (persze a bankok amúgy sem szoktak ilyen üzenetet küldözgetni, tehát már az üzenet olvasása közben is láthatjuk, hogy ez átverés)

  A bűnözők legújabb módszere az ún. Tabjacking eljárás. Nem kell bonyolult dologra gondolni, egyszerűen a böngészők füleit (angol: tab) használják fel az átverés során. Bátran állíthatjuk, hogy manapság már minden böngésző füleket használ. Böngészés közben, ha meg akarunk bizonyosodni milyen oldalon is állunk, akkor legtöbbször ember a megnyitott fül címére néz - a webcím helyett. A tabjacking eljárás részben abban áll, hogy a böngésző fülének inkonja (favicon) és a címe teljesen megegyezik egy általunk látogatott weboldaléval. Vessünk egy pillantást az alábbi képre. Ha nem nézzük meg a webcímet csak a tab-címet akkor nem jövünk rá, hogy ez adathalász oldal:

Mi van akkor, ha mi nem is használunk Gmailt? Könnyedén detektálható, hogy éppen milyen oldalakat szoktunk látogatni a "CSS history miner" támadással, amiről a buherablog már egyszer cikkezett. "A Mozilla egyik blogbejegyzése szerint nem sokára elérhető lesz egy olyan frissítés a Firefox böngészőhöz, amely megakadályozza a felhasználók böngészési előzményeinek visszanyerését." Ez az ígéret a Mozilla részéről majdnem 2 hónapja született, és még mindig nincs erre a biztonsági problémára megoldás... Ha meg szeretnénk bizonyosodni arról, hogy tényleg könnyedén vissza lehet nyerni azt, hogy milyen oldalakat látogattunk eddig meg, nézzük meg a >startpanic.com< weboldalt. Én ledöbbentem, hogy meg tudta mondani, hogy böngészőindítás óta miket néztem meg. (Operánál, Chromenál, Firefoxnál, és IE-nél is működik)

Ha keresztezzük ezt a támadási módszert a tabjacking eljárással, az adathalász oldalak "intelligensen" változhatnak - mindig azt a felületet kapjuk, amit éppen a közelmúltban használtunk.

Sok adathalász oldal olyan módon ügyeskedik, (a most említett 2 módszer használatán kívül) hogy az oldalakat nagy késéssel tölti csak be. Ez egy egyszerű Javascript kód segítségével kivitelezhető. Amíg az odal a töltés látszatát kelti, addig a felhasználó a legtöbbször egy másik megnyitott böngésző fülre navigál. Amint az adathalász oldal érzékelte, hogy elnavigált a célszemély, betölti a CSS history-ból megszerzett cím alapján a felhasználó által a közelmúltban megnyitott oldal adathalász változatát. (ha "gyűjteményében" megtalálható). Így ha az áldozat visszatér erre a fülre, (és ha sok más böngésző fül is meg van nyitva) akkor azt hiszi, minta csak ottfelejtett volna egy fület, és a webes szolgáltatás időtúllépés miatt kilépett volna. Nyugodt szívvel bejelentkezik, így átadva a személyes adatokat, jelszavakat a támadónak. Sőt, a weboldal az adatok lementése után átirányítja a júzert az eredeti oldalra, így kerülve a feltűnést a sikertelen bejelentkezés után.

A tabjacking támadás a CSS history-minerrel keverve elég ádáz módon becsaphat minket, hiszen a támadónak minden adat rendelkezésére áll egy szép, "személyre szabott" adathalász oldal építéséhez, ami méghozzá azt a trükköt is beveti, hogy később tölt be ezzel azt várva, hogy a kedves netező elfelejti, hogy mi is volt ott korábban, így még nagyobb valószínőséggel tudja kicsikarni a jelszavunkat. 

Védekezni ezek ellen a legegyszerűbben úgy lehet, ha a böngészőnk beépített jelszómenedzserét használjuk, ami automatikusan kitölti a jelszómezőt, de csak akkor, ha az eredeti oldalon állunk. Persze ez újabb biztonsági problémákat vet fel, hiszen ezeket a jelszavakat is el kell valahol tárolni...

A bejegyzés trackback címe:

https://numlockholmes.blog.hu/api/trackback/id/tr102032864

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Alfaboy 2010.05.28. 11:55:36

A Firefoxban a privát böngészés indításával a startpanic.com sem tud mit tenni. De lehet hogy a honlap tudja hogy úgy netezel és csak megvezet téged, hogy azt hidd, hogy nem lehet semmi adatot lementeni rólad. :D

Almaspite 2010.09.25. 16:46:16

Én például szándékosan nem használok füleket a böngészőben. Mindig kikapcsolom, valahányszor egy gép elé ülök, mert nekem nem tetszik. Most akkor mi van? Immunis lennék a tabjackingra?