La mayoría estará familiarizado con el phishing, una técnica de ingeniería social que busca obtener datos sensibles (personales, tarjetas de crédito, etc) de su víctima, convenciéndola de ingresarlos en un formulario aparentemente benigno. Los navegadores y clientes de correo modernos son capaces de detectar gran parte de estas amenazas, pero es una carrera constante. Hoy estamos frente a una nueva evolución en esta materia: el TabNabbing.
Esta nueva denominación tiene los mismos principios: tratar de convencernos que estamos en un sitio web familiar a nosotros para que ingresemos nuestros datos de acceso, que obviamente serán recolectados para ser usados en nuestra contra o en beneficio ajeno. Para ello, el TabNabbing se aprovecha del hábito de tener varias pestañas abiertas a la vez en el navegador, entonces cuando entramos a un sitio web aparentemente normal (pero que es parte de esta estafa), el mismo esperará a que cambiemos de pestaña para modificar su ícono, título y contenido, y hacerse pasar por alguno de los sitios que usamos habitualmente (como nuestro correo, redes sociales, bancos, etc). Al volver a esta pestaña, veremos una pantalla para ingresar los datos de acceso y creeremos que es porque nuestra sesión expiró, aunque obviamente se trata del sitio hostil que tomó la forma de uno conocido para nosotros.
La naturaleza del ataque está en su ingeniosa ejecución, al esperar nuestro descuido y aprovechar todos los recursos que brinda JavaScript a la hora de manipular el contenido y la presentación de una página web. Técnicamente, no hay nada nuevo, aunque implementa soluciones interesantes como de la que les hablé en mi artículo sobre la privacidad, para ver nuestro historial de navegación y elegir un sitio que hayamos visitado recientemente, aumentando muchísimo sus posibilidades de éxito. La única forma de darnos cuenta que no estamos en el sitio correcto será prestando atención a la barra de direcciones, o revisando el código fuente, dos acciones poco comunes en el promedio de los usuarios de la web.
Lo importante es estar alertas y tratar de difundir lo más posible esta información, para evitar que les sea redituable a los estafadores, o nosotros mismos terminemos cayendo.
Pueden probar el TabNabbing en acción, visitando la web del programador que dio el grito de alerta sobre esta técnica, simplemente cambien de pestaña, interactuen con otro sitio por lo menos 5 segundos y regresen. Por ahora, la técnica funciona mejor en Firefox.
También pueden ver una demostración de TabNabbing en el siguiente vídeo:
Vía: TensaiWeb