Tabnapping

Tabnabbing ialah satu serangan pengeksploitasian komputer dan phishing, yang meyakinkan pengguna untuk menghantarkan maklumat-maklumat log masuk dan kata laluan mereka kepada tapak-tapak web popular dengan menyamarkan sebuah tapak web sebagai tapak-tapak web berkenaan dan meyakinkan pengguna yang tapak tersebut adalah asli. Nama serangan ini telah diperkenalkan oleh seorang pengkaji keselamatan dan pakar reka bentuk iaitu Aza Raskin.^[1] Serangan ini mengambil kesempatan terhadap kepercayaan pengguna serta ketidakpedulian pengguna terhadap tab, dan kebolehan laman-laman web moden untuk menulis semula tab dan kandungannya lama selepas laman tersebut dimuat.

Pengeksploitasian ini menggunakan skrip untuk menulis semula sesebuah laman yang mempunyai tumpuan sederhana kepada samaran bagi tapak-tapak web terkenal, apabila dibiarkan tidak dilihat untuk beberapa masa. Seseorang pengguna yang kembali selepas seketika dan melihat laman yang telah ditulis semula tadi boleh terdorong untuk mempercayai laman tersebut adalah sah dan memasukkan kata laluan serta maklumat lain yang akan digunakan untuk tujuan-tujuan yang tidak sewajarnya. Serangan ini boleh menjadi lebih berjaya jika skrip yang digunakan memeriksa tapak-tapak web popular yang pengguna pernah muatkan dalam sejarah ataupun pada tab lain, lalu memuatkan simulasi bagi tapak-tapak web yang sama. Biarpun JavaScript dilumpuhkan, serangan ini masih boleh dilakukan dengan menggunakan elemen meta refresh, atribut HTML untuk pelencongan yang menyebabkan sesebuah laman baru tertentu dimuat semula selepas sela masa yang diberikan.^[2]

Rujukan

1. Information Week: Tabnapping attack makes phishing easy
2. http://blog.eitanadler.com/2010/05/tabnabbing-without-javascript.html

Pautan luar

• Devious New Phishing Tactic Targets Tabs daripada Krebson security