web-dev-qa-db-fra.com

Qu'est-ce que le tabnabbing?

Wikipedia n'est pas très explicite à ce sujet,

L'exploit utilise des scripts pour réécrire une page d'intérêt moyen avec une usurpation d'identité d'un site Web bien connu, lorsqu'elle est laissée sans surveillance pendant un certain temps.

Qu'est-ce que le 'tabnabbing', comment fait-on?

133
Matas Vaitkevicius

Tabnabbing est une technique de phishing où un site Web malveillant change d'apparence tandis que l'onglet est inactif afin de tromper l'utilisateur pour qu'il saisisse ses identifiants.

Cette page est à la fois une description et une démo. Lorsque vous le visitez, il affiche une description de ce qu'est le tabnabbing. Lorsque vous cliquez ensuite sur un autre onglet, il change le favicon et le titre des onglets pour ressembler à Gmail. Plus tard, lorsque l'utilisateur souhaite lire son courrier, il accède à cet onglet en pensant qu'il s'agit de Gmail et saisit ses informations d'identification.

Éditer:

Dans cette animation, vous voyez que pendant que je lis SE, l'onglet qui avait d'abord l'air inoffensif change en arrière-plan pour ressembler à Gmail. De cette façon, la page essaie de m'inciter à soumettre mes informations d'identification.

Tabnabbing demo

168
Sjoerd

Il s'agit d'une forme d'attaque d'ingénierie sociale via votre navigateur Web. Vous êtes invité à visiter une page malveillante qui ne sera chargée que si vous passez à un autre onglet et vice-versa. Il existe des outils pour le faire. Le mieux pour moi est Social Engineering Toolkit . Il est pré-installé avec Kali Linux avec d'autres jouets utiles.

2
Chris Tsiakoulas