有多少次您打开一个标签页却只停留了几分钟、几小时甚至一整夜?当您返回该选项卡时,您必须再次登录也就不足为奇了。毕竟,谁来跟踪每个页面的刷新计划和注销计时器?不是我们!然而,这种类型的行为使网页容易受到 tabnapping 的攻击——这种类型的网络攻击会攻击处理私人信息的网站的用户,例如电子邮件提供商和社交媒体门户网站。 Tabnapping 依赖于用户对他们熟悉的网站的信任,以及他们对细节的忽视,尤其是当涉及到他们打开的标签时。
注意:有时你会看到“tabnapping”写成“tabnabbing”。 “tabnapping”一词是“tab”和“kidnapping”的组合。按理说“tabnabbing”是“tab”和“nab”的组合。无论哪种方式,它们都指的是相同的方案,在我们的例子中,我们将使用“tabnapping”版本。
什么是 Tabnapping?
Tabnapping 是一种特定类型的漏洞利用和网络钓鱼攻击。通过 tabnapping,攻击者创建伪装成流行网站的网站。然后,黑客说服用户向假冒网站提交他们的登录详细信息,包括密码。通常,虚假网站看起来与用户习惯的真实网站非常相似,以至于他们不会注意到其中的区别。用户相信该网站是真实的,并像往常一样毫不犹豫地输入他们的登录信息。
Tabnapping 不同于其他类型的网络钓鱼攻击,例如点击电子邮件中的欺骗性链接,因为用户通常不知道标签是假的。虚假登录页面加载在浏览器中打开了很长时间的选项卡中。大多数人不会认为自己打开的选项卡被占用。
当攻击者可以看到用户经常加载的网站时,Tabnapping 攻击尤其成功——然后他们可以冒充用户定期登录的网站。
假设您去银行网站登录,您自己输入网址直接进入登录页面。但是随后您正在另一个选项卡或窗口中执行其他操作。大约一个小时后,您单击返回银行选项卡,因为您已准备好登录以检查您的帐户。
在 tabnapping 攻击的情况下,浏览器已经导航到伪装成银行页面的页面。但是您得到的页面看起来就像您当天早些时候打开过一百次的银行页面。
Tabnapping 的工作原理
在浏览器中,如果 HTML HREF 元素指定了 target=_blank 属性,则可以在新的选项卡或窗口中打开外部链接。不幸的是,这使用户容易受到 tabnap 攻击。有时 Tabnapping 被认为是某些浏览器的设计缺陷。然而,虽然浏览器不能被黑客攻击和有意操纵,但允许 tabnapping 是有目的的设计。
浏览器可以在页面加载和选项卡打开后很长时间内在这些非活动选项卡中浏览页面的源代码。如何?它与同源策略有关,这是一种在线安全概念。这是当浏览器允许来自一个网页的脚本访问来自另一个网页的数据时,如果两个网页具有相同的来源(主机名、端口号和 URI 方案)。此策略的目的是防止恶意活动。如果主页上有恶意脚本,将阻止它从其他网页获取敏感数据。然而,这种安全措施也使标签移动成为可能。
在攻击过程中,攻击者发送一个带有target=_blank属性的网页,并在其中嵌入一个恶意链接。用户单击打开新选项卡的恶意链接。黑客随后将第一个选项卡更改为虚假的网络钓鱼页面。这会诱使用户认为他们已经退出帐户并必须重新登录。
网站所有者如何使用 rel=”noopener” 属性来防止 Tabnapping
一些浏览器有扩展或其他安全措施来防止 Tabnapping 攻击。但是,并非所有浏览器都允许禁用非活动选项卡重定向,因为它们在某些情况下是合法的。由于 Tabnapping 不是很常见(尽管仍然重要到足以作为一种预防措施),这些浏览器供应商不想冒破坏其应用程序的风险来增强安全性。这意味着某些浏览器可能永远没有解决方法或补丁来防止 Tabnapping。但是,您仍然可以采取一些措施来防止对读者的此类攻击。
要防止选项卡出现在您的网站上,请将 rel=”noopener” 属性添加到任何设置为在新选项卡或窗口中打开的链接。当您添加链接然后选择在新标签页中打开时,WordPress 会自动为您添加此属性。
但是,由于rel = "noopener" 不适用于 Firefox 和一些较旧的浏览器,因此您应该添加另一个属性:rel="noreferrer" 如果您是最新的,WordPress 也会将此添加到新选项卡中的链接。
无论您是否使用 WordPress,您的链接都应如下所示以防止跳转:
用户如何保护自己免受 Tabnapping
主要浏览器通常有某种过滤器来清除恶意网站和受感染的合法网站网站。只要这些站点的黑名单是最新的,就可以防止 tabnapping 攻击。如果您看到一条通知,表明您尝试访问的网站已被入侵,请留意该警告。这不是开玩笑。
用户还应在输入登录信息之前始终检查 URL,尤其是当他们的标签页已打开很长时间时。攻击者不太可能伪造合法网站的 URL,因此这可能是假的。如果 URL 引发危险信号,请立即关闭该选项卡。不要打字、点击或互动。关闭它。
密码管理器也很有用。如果您的登录凭据链接到合法网站,则只有在您访问真实网站时才会填充它们,而不是在看起来像它的恶搞网站上。密码管理器与 URL 协调,而不是公司名称。如果您没有看到登录凭据弹出窗口,请关闭选项卡并重新开始。
其他类型的浏览器劫持威胁
Tabnapping 并不是唯一需要注意的浏览器劫持威胁类型。网络攻击者有各种各样的方法来获取您的点击并窃取您的信息。一般来说,浏览器劫持者是一种改变浏览器行为或外观的软件,它还可能更改设置。当然,这一切都是在未经您同意的情况下发生的。
因此,黑客可以赚钱、收集您的数据,甚至记录您的击键。最终,如果他们收集到足够的信息来建立您的完整档案,他们就可以窃取您的身份。浏览器劫持的类型包括:
- 用按点击付费的弹出式广告淹没您的浏览器的广告软件。这种类型的攻击通常会降低您的计算机速度,因为它会占用大量资源。
- Cookie 跟踪以关注您的在线活动。不良行为者可以找到从您的位置和 IP 地址到您查看的页面和搜索内容的所有内容。
- 重定向到危险网页或搜索引擎,或替换您的主页或默认搜索引擎。
- 收集您的私人数据的间谍软件,然后在数据市场上进行交易(通常也以身份盗用告终)。
如上文所述,为保护您自己,请注意您浏览器的状态并留意黑客入侵的迹象。还要留意浏览器加载项、扩展程序和插件。如果安装软件后出现问题,请立即将其删除。您还应该通过定期清理和清除缓存来保持浏览器清洁。当然,请定期使用防病毒软件并尽可能避免使用公共和/或不安全的 Wi-Fi。
总结
总而言之,tabnapping 攻击让用户认为他们自己打开了一个选项卡,而该站点只是超时了。原始页面链接到第二个页面,该页面能够重写原始页面并将其替换为钓鱼网站。由于用户从合法页面开始,他们不太可能注意到这是一个备用页面。页面的设计看起来像原来的。当用户登录到“原始”页面时,他们的凭据将完全转移到其他地方。
为尽可能避免使用标签页,请不要登录不对您开放的标签页。即使您认为您打开了标签页,如果您在一段时间不活动后返回登录页面,为了安全起见将其关闭,然后返回网站打开一个新页面。还要经常检查 URL。与其他浏览器劫持者威胁一样,养成良好的浏览器卫生习惯——限制并留意您使用的软件,定期清除浏览器缓存,并投资购买优质的防病毒软件。
您可能还想阅读我们关于 cookie 劫持以及如何防止它的文章。
您是否曾经被浏览器标记过?让我们在评论中知道!
Legend_art/Shutterstock.com 的精选图片
查看源代码
