Tabnabbing

El phishing, según la wikipedia, es «(…) un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (…)» dónde «(…) El estafador (…) se hace pasar por una persona o empresa de confianza».

Todos los navegadores actuales soportan pestañas para facilitarnos la navegación simultánea por distintas páginas web. Es habitual tener abiertas 4 o 5 pestañas como mínimo mientras consultamos el correo electrónico (por ejemplo) para poder leer nuestros feeds, el periódico o Facebook. Pues bien, el ataque consiste en cambiar la apariencia de una de las páginas que no está en primer plano (que no tiene el foco) por una de la que nos interesa saber las contraseñas del atacado (GMail, Facebook, banco…). El ataque, aunque original, no cambia la url de la página original así que fijándose un poco, la efectividad del engaño debería ser nula.

El descubridor del ataque, Aza Raskin, comenta en su blog que el ataque se podría sofisticar lo suficiente como para que el script buscase en el historial del atacado páginas habituales o interesantes para ser más susceptibles. Como demostración, nos propone entrar en su página, cambiar de pestaña (o de programa, lo importante es que la web pierda el foco) y esperar unos segundos, veremos como se cambia por la portada de GMail, algo que a los más despistados confundiría de inmediato introduciendo los datos de nuevo y facilitándoselos, de esta manera, al atacante.

Si bien el phishing no es un ataque moderno y siempre no están bombardeando para que tengamos cuidado con las comunicaciones privadas que realicen bancos, webs o demás servicios… hay que reconocer que a día de hoy la inocencia o falta de formación del usuario medio hace que el grado de efectividad de estos, a menudo toscos, ataques sea altísimo. Por tanto, me gustaría hacer un recordatorio antes del punto y final: Las empresas o páginas web habituales que contengan información sensible (Banco, Correo electrónico, Operadora de telefonía…) nunca contactarán con nosotros mediante un correo electrónico simple y, de hacerlo, siempre pondrán a nuestra disposición los medios necesarios para poder verificar la autenticidad de esa comunicación (Teléfono, certificados de seguridad…), por lo tanto, sean cuidadosos y asegúrense antes de facilitar cualquier información.