http://www.itmedia.co.jp/enterprise/articles/1005/26/news031.html
Firefoxのクリエイティブを率いるエイザ・ラスキン氏は、Webブラウザのタブでユーザーが見ていたページをこっそり詐欺サイトに切り替え、ログイン情報を盗み出す新たな手口を報告している。同氏はこの攻撃を「タブナッピング」と名付け、解説・実証するページを公開した。
"タブナッピング"でググってもITMediaの孫引きしか見つからず、具体的なことを書いてるサイトが何一つ見つからないわけだがどういうことだ。
つか、"解説・実証するページ"って何処だ。
http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/
ここらへんか?
1.犠牲者があなたのサイトを訪れる。
2.フォーカスを失ってしばらく経つのを待つ。
3.favicon画像とサイトのデザインをしれっとGmailのログイン画面に変更する。
4.戻ってきたユーザは、Gmailタブを開いたままにしておいたらいつのまにかログアウトしたのだろうとうっかり思い込んでパスワードを入力しちゃう
5.パスワードを盗んだらGmailにリダイレクトする。大抵はGmailをログアウトしたわけじゃないのでそのままログイン後の画面に行けたように見えてめでたし。
ITMediaの言う"攻撃者"が誰を指すのかいまいち不明なんだが、解説ページではサイト管理人が仕掛けるような流れになっているようです。。
タブブラウザユーザのうっかりミスに依存しているという点でこれまでの攻撃手法とは少し違いますが、結局XSS脆弱性を使ってgoooooogle.co.jpにリダイレクトしたりするのと技術的にはたいして変わらない内容だったり。
まあ確かにGmailのタブを開きっぱなしにしたりしていたらけっこう引っかかってしまいそうな気がしないでもない。
簡単なので実際やってみました。
このページからフォーカスを外せばGmailのログイン画面っぽい画面を表示します。
適当にリンク踏めば戻ってきます。
あ、あと、このページを開いている時点でもう何処にも行くことができないので戻る時はブラウザバックなりURL直接入力なりで脱出してください。
favicon変更についてはここらへんから拾ってきました。
IEだと効かないみたいです。
今回はフォーカスを失った瞬間即座に変更しているのでわかりやすいですが、これをしばらく待機したうえでウィンドウの裏で気付かれないようにこっそり実行するというのがこの攻撃の肝でしょう。
まあしかし、この程度で"新しい攻撃手法"とブチ上げるってのは正直どうなのよって気がしないでもない。
#2010/06/02追記
綴りがTabnappingだったりTabnabbingだったりするんだがどっちなんだよ。
ただ日本語の場合「タブナッピング」では見つかるが「タブナッビング」では全くヒットしない。
PR
トラックバック
トラックバックURL: