Tabnapping 標籤綁架是什麼?

Tabnapping 是 Tab + Napping 而產生的新字，這裡的Tab(標籤)指的是瀏覽軟體在同一個視窗開啟許多網頁時，會以Tab的方式排列，讓使用者清楚知道哪個網頁在哪裡(如下圖)，這個Tab為什麼會產生標籤綁架呢?

你可以先看看Aza Raskin的影片說明，他是FireFox的主要開發者:

在他的部落格有更多說明: A New Type of Phishing Attack

注意喔 …. 如果你也是使用多Tab的瀏覽軟體，並且開啟很多頁面的話，你進入他的部落格後，再去點選其他的Tab，過一陣子頁面會變成Gmail登入 (當然只是假畫面，URL沒有更改)

也就是當你使用瀏覽軟體(如FireFox)，並且開啟許多的Tab時，就可能被「標籤綁架」盯上，標籤綁架是如何做到的呢? 標籤綁架想要做什麼呢?

標籤綁架是如何做到的呢? 主要是先透過一些漏洞來知道你的瀏覽歷史資料，如CSS History Miner、Cache Files、Cookie …. 等等，知道你的瀏覽歷史資料後，就可以在你開啟很多網頁時，偷偷的把某些Tab換成Gamil登入畫面，但是其實是假的登入畫面。

當你開啟很多網頁時，你可能已經忘記是否有開過Gmail，當你看到Gmail已經被登出，你就可能打入帳號密碼進行登入。

讓你去登入假的Gmail幹什麼? 當然就是偷帳號囉，如果是網路銀行的話就更慘了。

更讓人無法防範的是，Tabnapping 標籤綁架可以知道你的瀏覽歷史，並且知道你是否剛剛進行登錄，或是正登錄中 (如透過netstat記錄)，如果你剛剛登入網路銀行，在進行資料瀏覽 …. 當你回到某頁面看到被網路銀行登出，你的反應可能不加思索的再登入一次，這時就Bingo了 … 帳號密碼已經被偷了，如果你沒有察覺而盡快改掉帳號密碼，你就已經陷入危險中了。

網路釣魚(Phising)無奇不有，Tabnapping 標籤綁架可能是目前看到的最高招，也是危險度極高的陷阱，應該提高警覺才好啊。

2010/5/31 後記:

網友問說如何防範Tabnapping呢?

有一個非常容易的方式，如果當你點選Tab(標籤)發現有已經被登出的狀況(比如Gmail的login畫面)，不要進行登入，把Tab(標籤)關閉，並另外登入。

也就是如果你要登入的話，自己另外打網址進入，或從自己的書籤頁進入，如此雖然麻煩一些，但是可以確保不被Tabnapping …