Cerca nel blog

2010/05/28

Nuova tecnica di furto password: tabnabbing

L'attacco della scheda mutaforma


Questo articolo vi arriva grazie alle gentili donazioni di "veronicalareina" e "maurimds".

Aza Raskin, esperto di interfacce e figlio d'arte (il padre era il celebre Jef Raskin che avviò il progetto Macintosh per Apple), ha annunciato una nuova forma di attacco informatico particolarmente subdola.

La maggior parte degli attacchi di phishing (furto di password tramite false pagine Web di autenticazione simili a quelle effettive) funziona secondo un meccanismo standard: la vittima riceve una mail che contiene un link, clicca sul link, viene quindi portata a una pagina Web gestita dall'aggressore ma identica a quella di autenticazione di un servizio usato dalla vittima (per esempio la posta di Gmail), immette il proprio nome utente e la propria password e così le regala all'aggressore.

La sequenza degli eventi è diretta e piuttosto ben conosciuta, per cui molti utenti ormai non si fanno più gabbare. Raskin, però, ha trovato una maniera per renderla molto meno evidente e l'ha chiamata tabnabbing (letteralmente, "catturare la scheda di un browser"). Funziona molto bene sugli utenti che tengono aperte molte pagine nel proprio browser, in modo che ciascuna sia in una scheda (tab).

Nel tabnabbing, la vittima clicca su un link trovato su Internet e finisce su una pagina dall'aria del tutto innocua che non gli chiede password o altro e quindi non lo mette sul chi vive, ma ha un contenuto interessante (immagini osé o altro). Così la vittima non la chiude ma passa a un'altra scheda del browser. Quello che l'utente non si aspetta è che la pagina-trappola a questo punto aspetta che nessuno la stia guardando e si trasforma: cambia la propria icona (favicon) e il proprio contenuto, diventando una pagina che richiede l'autenticazione per un servizio adoperato dall'utente: per esempio, la login di Gmail.

La vittima penserà molto probabilmente di aver lasciato aperta una scheda del servizio e crederà di essere stato scollegato dal servizio per mancato utilizzo, come avviene periodicamente, e quindi immetterà nella pagina-trappola le proprie credenziali nel tentativo di fare login, regalando così all'aggressore i propri codici. Per completare il furto con destrezza, l'aggressore può poi trasferire l'utente e le sue credenziali alla pagina vera del servizio, così l'utente farà effettivamente login e non si accorgerà che gli è stata sottratta la password di accesso.

La trappola, come nota Raskin, si basa sull'idea sbagliata che una scheda sia immutabile e usa il forte richiamo visivo di un'icona. Per dimostrarne l'efficacia, ha predisposto una dimostrazione innocua: andate qui nel sito di Raskin e poi aprite un'altra scheda del browser, restando sulla nuova scheda per qualche secondo. Vedrete che la scheda nascosta, che prima ospitava la pagina di Raskin, cambierà icona e contenuto, diventando la pagina di login di Gmail. Il trucco funziona con quasi tutti i browser più diffusi. Raskin lo dimostra in un video:



In questa dimostrazione volutamente blanda, l'utente può accorgersi dell'inganno notando che l'URL nella barra dell'indirizzo non è quello giusto. Ma quanti lo faranno? Oltretutto esistono vari modi per mascherare anche l'URL.

La soluzione migliore contro questo tipo di trappola è aprire sempre una scheda nuova per fare login a qualunque servizio e immettere manualmente l'indirizzo oppure prenderlo dai Preferiti.

Nessun commento: