Метод подмены содержимого вкладки, tabnapping, о котором рассказал креативный директор разработки браузера Firefox Аза Раскин, не требует использования каких-либо специфических уязвимостей браузеров. Вместо этого он полагается на невнимательность пользователей, которые часто держат в браузере множество открытых вкладок.
Атака начинается с привлечения пользователя на мошеннический сайт, что не представляет особой сложности. Этот сайт показывает обычные страницы, но при этом ждет, пока пользователь не прекратит на определенное время взаимодействовать с ним. Как только сайт посчитает, что пользователь не смотрит на открытую вкладку, он меняет ее содержимое и иконку, к примеру, на имитацию входной страницы Gmail, Facebook или банковского сайта. Если пользователь не заметит, что содержимое вкладки изменилось, он может по привычке ввести туда пароль.
Гарантированного способа предотвращения такой атаки пока не придумано. Она срабатывает в большинстве современных браузеров, использующих в интерфейсе модель вкладок - Chrome, Firefox, Opera, Safari и IE последних версий.

Поделитесь материалом с коллегами и друзьями