Tabnapping, una nueva técnica de phishing

En el tabnapping, o tabjacking, una pestaña maliciosa de un navegador imita a una verdadera, confundiendo al usuario para que entregue sus claves y contraseñas.

Un especialista en interfaces de usuario de Mozilla ha publicado un código ‘proof-of-concept’ para una nueva técnica de phishing que hace uso del morphing de las pestañas del navegador para engañar a la gente y que den su información de acceso.

Generalmente las técnicas de phishing tradicionales llevan a los usuarios directamente a una página web maliciosa que, al parecer una verdadera, genera confianza en el usuario, que introduce sus claves e información de acceso.

La nueva técnica, bautizada como ‘tabnapping‘ o ‘tabjacking‘, ha sido demostrada por Aza Raskin, de Mozilla, a través de su blog, y lleva a un usuario a lo que parece ser una página web genuina que ofrece el contenido prometido.

Si un usuario deja esa página abierta en un navegador y abre otra pestaña. La pestaña maliciosa cambia y replica la página web real. Según explica Raskin cambia el título y el icono mostrado, entre otras cosas. En la demostración del investigador la página imitada es la página de acceso a Gmail.

El usuario podría después equivocar el site e introducir claves y contraseñas sin darse ni cuenta. Este tipo de técnica se basa, por tanto, en la poca atención de los usuarios porque, por ejemplo, la URL mostrada en la barra de dirección del navegador no se transforma durante el ataque.

Este tipo de ataque funciona en la mayoría de los navegadores, incluido Firefox, Internet Explorer o Google Chrome.

Según explica el investigador un atacante podría utilizar previamente algunas técnicas que le desvelen las páginas que habitualmente utiliza un usuario para imitarlas.