Tabnabbing

Tabnabbing (de «Tab», pestañas y «nabbing», que se podría traducir como atrapando) es un término informático para definir un tipo de phishing (delito donde por medio de ingeniería social se obtiene datos de forma fraudulenta) descrito en 2010 por Aza Raskin^[1]^[2] y que se basa en persuadir al usuario de insertar datos para entrar en cuentas, normalmente de correos o redes sociales, por medio de páginas que aparentan ser las reales. Este método es muy peligroso porque se basa en la poca atención que un usuario puede tener mientras navega en múltiples pestañas y la falta de hábito de no revisar el código fuente al entrar en una página.

Consiste en emplear scripts para reemplazar la página normal en una pestaña que no esté activa por una copia creada por el ciberdelincuente.^[3] Normalmente se utiliza javascript, pero puede funcionar aún si los scripts están bloqueados usando la función meta refresh de HTML, que carga de nuevo una página después de cierto tiempo abierta.

Proceso[editar]

Normalmente cuando llega un correo fuera de lugar, se encuentra un hipervínculo que envía al usuario un sitio web que se ve muy parecido o totalmente igual a un sitio web sin fines malévolos, donde el hackeado es forzado a meter su clave, número de tarjeta u otros tipos de datos personales. En cambio, el tabnabbing, funciona inversamente: la imagen del sitio se colocará sin que el usuario lo desee, funcionando a partir de que no se note el cambio.

Se puede dividir la experiencia del Tabnabbing en cuatro pasos:

Al tener muchas pestañas abiertas, se puede entrar a un sitio controlado por el cyberdelincuente, que aparentemente no es ilícito.

Mientras se observa la página, se podrá ver el historial del usuario en busca de páginas que puedan tener valor (páginas de bancos o tiendas en línea) así como páginas de correo o redes sociales que se frecuentan.

Repentinamente, se cambiará la página que se estaba viendo, así como el favicon y se verá con una imagen muy parecida a los sitios originales donde se suelen ingresar datos, tales como correo, contraseñas o números de tarjetas.

Si el objetivo del hacker se cumple y el usuario ingresa sus datos, tendrá acceso a diversas cuentas.

Véase también[editar]

Phishing

Referencias[editar]

↑ De Ryck, Philippe; Nikiforakis, Nick; Desmet, Lieven; Joosen, Wouter (2013). «TabShots: Client-side Detection of Tabnabbing Attacks». Proceedings of the 8th ACM SIGSAC Symposium on Information, Computer and Communications Security. ASIA CCS '13 (ACM): 447-456. ISBN 9781450317672. doi:10.1145/2484313.2484371.
↑ Suri, Rableen Kaur; Tomar, Deepak Singh; Sahu, Divya Rishi (2012). «An Approach to Perceive Tabnabbing Attack». International Journal of Scientific & Technology Research 1 (6). ISSN 2277-8616.
↑ Sarika, S.; Varghese, Paul (2015). «AgentTab: An Agent Based Approach to Detect Tabnabbing Attack». Procedia Computer Science. Proceedings of the International Conference on Information and Communication Technologies, ICICT 2014, 3-5 December 2014 at Bolgatty Palace & Island Resort, Kochi, India 46: 574-581. ISSN 1877-0509. doi:10.1016/j.procs.2015.02.094.

Bibliografía[editar]

Tensai Web. <Cuidado con esta nueva forma de Phishing: Tabnabbing!> 25 de mayo de 2010. Recuperado de http://tensaiweb.info/blog/cuidado-con-esta-nueva-forma-de-phishing-tabnabbing/
Maestros del Web. <¿Qué es Tabnabbing?> 1 de junio de 2010. Recuperado de http://www.maestrosdelweb.com/editorial/que-es-tabnabbing-phishing-robo-identidad/
Claburn, Thomas. <Tabnapping' Attack Simplifies Phishing> 25 de mayo de 2010. Recuperado de http://www.informationweek.com/storage/security/tabnapping-attack-simplifies-phishing/225200157?subSection=News
Askin, Aza. <Tabnabbing: A New Type of Phishing Attack> 2010. Recuperado de https://web.archive.org/web/20120217193155/http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/
Special Issue: Tabnabbing -- The Latest Internet Phishing Scam. Recuperado de http://www.scambusters.org/internetphishing.html

Enlaces externos[editar]

A new type of phishing attack (en inglés)

Datos: Q1136330

[1] De Ryck, Philippe; Nikiforakis, Nick; Desmet, Lieven; Joosen, Wouter (2013). «TabShots: Client-side Detection of Tabnabbing Attacks». Proceedings of the 8th ACM SIGSAC Symposium on Information, Computer and Communications Security. ASIA CCS '13 (ACM): 447-456. ISBN 9781450317672. doi:10.1145/2484313.2484371.

[2] Suri, Rableen Kaur; Tomar, Deepak Singh; Sahu, Divya Rishi (2012). «An Approach to Perceive Tabnabbing Attack». International Journal of Scientific & Technology Research 1 (6). ISSN 2277-8616.

[3] Sarika, S.; Varghese, Paul (2015). «AgentTab: An Agent Based Approach to Detect Tabnabbing Attack». Procedia Computer Science. Proceedings of the International Conference on Information and Communication Technologies, ICICT 2014, 3-5 December 2014 at Bolgatty Palace & Island Resort, Kochi, India 46: 574-581. ISSN 1877-0509. doi:10.1016/j.procs.2015.02.094.

[1]

[2]

[3]