最後の3日間は、 Yandexメールアカウントの3つの大きなデータベース、 Yandex.ruとMail.ruがネットワークに入ったという事実が注目に値します。
Habrの多くのユーザーは、セキュリティの問題に関する他のテーマリソースと同様に、ユーザーのコンピューターへのトロイの木馬の感染の結果、またはフィッシング攻撃の結果として、アカウントがデータベースに侵入した可能性が最も高いことに同意します。
これらの白熱した議論をきっかけに、ユーザーデータを盗むための美しい方法の1つについてお話したいと思います。
2010年、 Jeff Raskinの息子であるAsa Raskinは、彼のブログで、彼がTabnabbingと呼ぶ非常に興味深いフィッシング手法を共有しました。
その本質は次のとおりです。
1.攻撃者は、ユーザーを自分のサイトのページに誘導します。このページは、完全に正常で、ユーザーが期待する方法に見えます。
2.攻撃者は、ユーザーが長時間ページを操作していないか、別のタブに切り替えていないと判断します。
3.ページが非アクティブである間-ファビコンはサイトアイコンに置き換えられ、その下でマスクされます。
4.ページのコンテンツが、そのページがマスクされているサイトの偽のログインフォームのコンテンツに変わります。
5.ある程度高い確率で、ユーザーはタブに戻った-ためらうことなく、ユーザー名とパスワードを自動的に入力します。
6.許可データをインターセプトした後、ユーザーは攻撃されたサイトにリダイレクトされます。ほとんどの場合、ユーザーは既に許可されており、まさにこの動作です。
実装
ユーザーの行動を追跡するプロトタイプコードは次のようになります。
window.onblur = function(){ TIMER = setTimeout(time_to_change, 5000); } window.onfocus = function(){ if(TIMER) clearTimeout(TIMER); } function time_to_change() { if( HAS_SWITCHED == false ){ change_content(); change_title( "Gmail: Email from Google"); set_favicon("https://mail.google.com/favicon.ico"); HAS_SWITCHED = true; } }
つまり、ユーザーの行動の傍受自体は非常に簡単であり、複雑ではありません。 さらに、change_content()関数は、ページの元のコンテンツの上に表示されるDOMツリーの新しい要素を作成します。
そして、あなたがノスタルジックにしたい場合:
Aza Raskinはこのトピックに関する彼の投稿でこの動作の例を実装しました。投稿でタブを切り替えると、そのタブに戻ると、2010 Gmail認証ページのスクリーンショットを受け取ります。
いずれにせよ、私はあなたに思い出させたいと思います-非常に注意してください、これはあなたのオンライン安全性の基礎です。