Hur många gånger har du öppnat en flik, bara för att navigera bort från den i några minuter, timmar eller till och med över natten? När du återvänder till den fliken är det inte oväntat att behöva logga in igen. När allt kommer omkring, vem håller reda på varje sidas uppdateringsschema och utloggningstimer? Inte vi! Den här typen av beteende gör dock webbsidor sårbara för tabnapping – och den här typen av cyberattack förgriper sig på användare av webbplatser som hanterar privat information, såsom e-postleverantörer och sociala medieportaler. Tabnapping förlitar sig på en användares förtroende för de webbplatser de är bekanta med, tillsammans med deras ouppmärksamhet på detaljer, särskilt när det kommer till flikarna de har öppna.
Obs! Ibland ser du ”tabnapping” skrivet som ”tabnabbing.” Termen ”tabnapping” är en kombination av ”tab” och ”kidnappning”. Det är naturligt att ”tabnabbing” är en kombination av ”tab” och ”nab”. I vilket fall som helst hänvisar de båda till samma schema, och i vårt fall går vi med ”tabnapping” version.
Vad är Tabnapping?
Tabnapping är en specifik typ av exploatering och nätfiske. Med tabnapping skapar angriparen webbplatser som imiterar populära webbplatser. Sedan övertalar hackaren användare att skicka in sin inloggningsinformation, inklusive sina lösenord, till den falska webbplatsen. Ofta ser de falska webbplatserna så mycket ut som de riktiga webbplatser som användare är vana vid att se att de inte märker skillnaden. Användaren tycker att webbplatsen är äkta och tvekar inte att ange sin inloggningsinformation, som de alltid har gjort.
Det som skiljer tabnapping från andra typer av nätfiskeattacker (som att klicka på en falsk länk i ett e-postmeddelande) är att användaren vanligtvis inte inser att fliken är falsk. Den falska inloggningssidan laddas i en flik som är redan varit öppen i webbläsaren länge. De flesta skulle inte tro att en flik de själva öppnade togs över.
Tabnapping-attacker är särskilt framgångsrika när angriparen kan se de webbplatser som användaren laddar ofta – de kan sedan simulera de webbplatser som användaren loggar in på regelbundet.
Låt oss säga att du går in på din banks webbplats med avsikten att logga in. Du går direkt till inloggningssidan genom att själv skriva in webbadressen. Men sedan fastnar du för att göra något annat i en annan flik eller ett annat fönster. Efter någon timme klickar du tillbaka till bankfliken eftersom du är redo att logga in för att kontrollera dina konton.
I fallet med en tabnapping-attack har webbläsaren vid den tidpunkten navigerat till en sida som utger sig för att vara bankens sida. Men du kommer att se en sida som ser ut precis som bankens sida du har varit på hundra gånger och öppnat tidigare samma dag.
Hur Tabnapping fungerar
I webbläsare kan externa länkar öppnas i nya flikar eller fönster om HTML HREF-elementen har specificerats target=_blank attribut. Tyvärr gör detta användare sårbara för tabnapping-attacker. Ibland ses tabnapping som ett designfel i vissa webbläsare. Men även om webbläsarna inte är avsiktligt sårbara för hacking och manipulation, är designen som tillåter tabnapping målmedveten.
Efter att en sida har laddats och fliken har varit öppen under en lång tid kan webbläsare navigera över en sidas ursprung på de inaktiva flikarna. På vilket sätt? Det har att göra med samma ursprungspolicy, ett säkerhetskoncept online. Detta är när en webbläsare låter skript för en webbsida ha tillgång till data från en annan webbsida om båda webbsidorna har samma ursprung (värdnamn, portnummer och URI-schema). Syftet med policyn är att förhindra skadlig aktivitet. Om det finns ett skadligt skript på första sidan, förhindras det från att få känslig information från andra webbsidor. Denna säkerhetsåtgärd är dock också det som gör tabnapping möjligt.
Under en attack skickar angriparen en webbsida med target=_blank attribut och bäddar in en skadlig länk i den. Användaren klickar på den skadliga länken, vilket öppnar en ny flik. Sedan ändrar hackaren den första fliken till en falsk nätfiskesida. Detta lurar användaren att tro att de loggat ut från sitt konto och måste logga in igen.
Hur webbplatsägare kan förhindra tabnapping med attributet rel=”noopener”.
Vissa webbläsare har tillägg eller andra säkerhetsåtgärder som skyddar mot tabnapping-attacker. Men inte alla webbläsare tillåter inaktivering av inaktiva flikomdirigeringar eftersom det finns fall där de är legitima. Och eftersom tabnapping inte är särskilt vanligt (även om det fortfarande är tillräckligt viktigt för förebyggande åtgärder), vill dessa webbläsarleverantörer inte riskera att gå sönder sina applikationer för säkerhetsförbättringens skull. Det betyder att vissa webbläsare kanske aldrig har lösningar eller patchar för att förhindra tabnapping. Det finns dock fortfarande steg du kan vidta för att förhindra denna typ av attack mot dina läsare.
För att förhindra tabnapping på din webbplats, lägg till rel=”noopener” attribut till en länk som är inställd på att öppnas i en ny flik eller ett nytt fönster. WordPress lägger automatiskt till detta attribut åt dig när du lägger till en länk och sedan väljer Öppna i Ny flik.
Men sedan rel=”noopener” fungerar inte på Firefox och vissa äldre webbläsare, det finns ett annat attribut du bör lägga till: rel=”noreferrer” som WordPress också lägger till länkar i nya flikar om du är uppdaterad.
Oavsett om du använder WordPress eller inte, så här ska dina länkar se ut för att förhindra tabnapping:
Hur användare kan skydda sig från flikar
Stora webbläsare har vanligtvis något slags filter för att sålla bort skadliga webbplatser, såväl som legitima webbplatser med infektioner. Så länge som svartlistorna för dessa webbplatser är aktuella kommer tabnapping-attacker troligen att blockeras. Om du någon gång ser ett meddelande om att en webbplats som du försöker gå till har blivit utsatt för intrång, följ den varningen. Det är inget skämt.
Användare bör också alltid kontrollera webbadressen innan de anger sin inloggningsinformation, särskilt om de har flikar som har stått öppna länge. Det är osannolikt att angriparna kommer att kunna fejka den legitima webbplatsens URL, så det kan vara en död giveaway att det är en falsk. Stäng fliken direkt om webbadressen skickar upp en röd flagga. Skriv, klicka eller interagera inte. Stäng den bara.
Lösenordshanterare är också användbara. Om dina inloggningsuppgifter är länkade till den legitima webbplatsen bör de bara fyllas i när du är på den faktiska webbplatsen – inte när du är på en falsk webbplats som ser likadan ut. Lösenordshanterare koordinerar med URL:en, inte företagsnamnet. Om du inte ser inloggningsuppgifterna som popup-fönster, stäng fliken och börja om.
Andra typer av hot om webbläsarkapning
Tabnapping är inte den enda typen av webbläsarkapningshot att vara medveten om. Cyberattackare har alla möjliga sätt att få dina klick och stjäla din information. I allmänhet är webbläsarkapning programvara som ändrar hur en webbläsare beter sig eller ser ut, och den kan också göra ändringar i inställningarna. Allt detta sker naturligtvis utan ditt samtycke.
Som ett resultat kan hackaren få intäkter, samla in din data och till och med logga dina tangenttryckningar. I slutändan kan de stjäla din identitet om de samlar in tillräckligt med information för att skapa en fullständig profil av dig. Typer av webbläsarkapning inkluderar:
- Adware som översvämmer din webbläsare med popup-annonser som betalar per klick. Denna typ av attack kommer vanligtvis att sakta ner din dator eftersom den använder så många resurser.
- Cookiespårning för att hålla koll på vad du gör online. Dåliga skådespelare kan ta reda på allt, från din plats och IP-adress till vilka sidor du tittar på och vad du söker efter.
- Omdirigering till farliga webbsidor eller sökmotorer eller ersättning av din hemsida eller standardsökmotor.
- Spionprogram som samlar in din privata data, som sedan handlas på datamarknader (vilket också ofta slutar i identitetsstöld).
För att försvara dig själv, håll dig medveten om tillståndet i din webbläsare och se upp för de tydliga tecknen på ett hack, som de som beskrivs ovan. Håll ett öga på webbläsarens tillägg, tillägg och plugins också. Om något går snett efter installation av programvara, ta bort det omedelbart. Du bör också hålla din webbläsare ren med regelbunden rengöring och cache rensning. Och, naturligtvis, använd antivirusprogram regelbundet och undvik att använda offentligt och/eller osäkrat Wi-Fi när det är möjligt.
Avslutning
För att sammanfatta, tabnapping-attacker får användarna att tro att de öppnade fliken själva och att sajten bara tog timeout. Den ursprungliga sidan länkar till en andra sida, och den andra sidan kan skriva om den ursprungliga sidan och ersätta den med en nätfiskesida. Eftersom användaren började på den legitima sidan är det osannolikt att de kommer att märka att det är en ersättning. Sidans design ser ut som originalet. När användaren loggar in på den ”ursprungliga” sidan, överförs deras autentiseringsuppgifter till någon annanstans helt och hållet.
För att hålla dig så säker som möjligt från tabnapping, logga aldrig in på en flik som du inte har öppnat själv. Och även om du tror att du har öppnat fliken, om du återvänder till en inloggningssida efter att den har varit inaktiv ett tag, stänger du den för säkerhets skull och går sedan tillbaka till webbplatsen för att öppna en ny. Kontrollera alltid URL:en också. När det kommer till andra hot om webbläsarkapning, utöva god webbläsarhygien – begränsa och var uppmärksam på programvaran du använder, rensa webbläsarens cache regelbundet och investera i antivirusprogram av hög kvalitet.
Utvald bild av Legend_art / Shutterstock.com