Tabnapping 標籤綁架是什麼?

Tabnapping 是 Tab + Napping 而產生的新字,這裡的Tab(標籤)指的是瀏覽軟體在同一個視窗開啟許多網頁時,會以Tab的方式排列,讓使用者清楚知道哪個網頁在哪裡(如下圖),這個Tab為什麼會產生標籤綁架呢?

你可以先看看Aza Raskin的影片說明,他是FireFox的主要開發者:

在他的部落格有更多說明: A New Type of Phishing Attack

注意喔 …. 如果你也是使用多Tab的瀏覽軟體,並且開啟很多頁面的話,你進入他的部落格後,再去點選其他的Tab,過一陣子頁面會變成Gmail登入 (當然只是假畫面,URL沒有更改)

也就是當你使用瀏覽軟體(如FireFox),並且開啟許多的Tab時,就可能被「標籤綁架」盯上,標籤綁架是如何做到的呢? 標籤綁架想要做什麼呢?

標籤綁架是如何做到的呢? 主要是先透過一些漏洞來知道你的瀏覽歷史資料,如CSS History Miner、Cache Files、Cookie …. 等等,知道你的瀏覽歷史資料後,就可以在你開啟很多網頁時,偷偷的把某些Tab換成Gamil登入畫面,但是其實是假的登入畫面。

當你開啟很多網頁時,你可能已經忘記是否有開過Gmail,當你看到Gmail已經被登出,你就可能打入帳號密碼進行登入。

讓你去登入假的Gmail幹什麼? 當然就是偷帳號囉,如果是網路銀行的話就更慘了。

更讓人無法防範的是,Tabnapping 標籤綁架可以知道你的瀏覽歷史,並且知道你是否剛剛進行登錄,或是正登錄中 (如透過netstat記錄),如果你剛剛登入網路銀行,在進行資料瀏覽 …. 當你回到某頁面看到被網路銀行登出,你的反應可能不加思索的再登入一次,這時就Bingo了 … 帳號密碼已經被偷了,如果你沒有察覺而盡快改掉帳號密碼,你就已經陷入危險中了。

網路釣魚(Phising)無奇不有,Tabnapping 標籤綁架可能是目前看到的最高招,也是危險度極高的陷阱,應該提高警覺才好啊。

2010/5/31 後記:

網友問說如何防範Tabnapping呢?

有一個非常容易的方式,如果當你點選Tab(標籤)發現有已經被登出的狀況(比如Gmail的login畫面),不要進行登入,把Tab(標籤)關閉,並另外登入

也就是如果你要登入的話,自己另外打網址進入,或從自己的書籤頁進入,如此雖然麻煩一些,但是可以確保不被Tabnapping …

Loading Facebook Comments ...