你有多少次打開一個標籤,只是離開它幾分鐘、幾小時,甚至一夜之間? 當您返回該選項卡時,必須再次登錄並不意外。 畢竟,誰來跟蹤每個頁面的刷新計劃和註銷計時器? 不是我們! 然而,這種類型的行為使得網頁容易受到 tabnapping 的攻擊——並且這種網路攻擊會攻擊處理私人信息的網站的用戶,例如電子郵件提供商和社交媒體門戶網站。 Tabnapping 依賴於用戶對他們熟悉的網站的信任,以及他們對細節的疏忽,尤其是當涉及到他們打開的標籤時。
注意:有時你會看到「tabnapping」寫成「tabnabbing」。 術語「tabnapping」是「tab」和「kidnapping」的組合。 按理說,「tabnabbing」是「tab」和「nab」的組合。 無論哪種方式,它們都引用相同的方案,在我們的例子中,我們將使用「tabnapping」版本。
什麼是Tabnapping?
Tabnapping 是一種特定類型的漏洞利用和網路釣魚攻擊。 通過 tabnapping,攻擊者創建了冒充流行網站的網站。 然後,黑客說服用戶將他們的登錄信息(包括他們的密碼)提交到虛假網站。 通常,虛假網站看起來與用戶習慣的真實網站非常相似,以至於他們沒有注意到其中的區別。 用戶認為該網站是真實的,並且像往常一樣毫不猶豫地輸入他們的登錄信息。
tabnapping 與其他類型的網路釣魚攻擊(例如單擊電子郵件中的欺騙性鏈接)的區別在於,用戶通常不會意識到該選項卡是虛假的。 假登錄頁面載入在一個已經在瀏覽器中打開很長時間的選項卡中。 大多數人不會認為他們自己打開的標籤被佔用了。
當攻擊者可以看到用戶經常載入的網站時,Tabnapping 攻擊尤其成功——然後他們可以模擬用戶定期登錄的網站。
假設您進入銀行網站是為了登錄。您自己輸入 URL 直接進入登錄頁面。 但是隨後您會在另一個選項卡或窗口中做其他事情。 大約一個小時後,您單擊返回到銀行選項卡,因為您已準備好登錄以檢查您的帳戶。
在 tabnapping 攻擊的情況下,到那時,瀏覽器已經導航到冒充銀行頁面的頁面。 但是您會看到一個看起來就像您在當天早些時候打開過一百次的銀行頁面一樣的頁面。
Tabnapping 的工作原理
在瀏覽器中,如果 HTML HREF 元素指定了 target=_blank 屬性,則外部鏈接可以在新選項卡或窗口中打開。 不幸的是,這使用戶容易受到 tabnap 攻擊。 有時,tabnapping 被認為是某些瀏覽器的設計缺陷。 然而,雖然瀏覽器不會故意受到黑客攻擊和操縱,但允許 tabnapping 的設計是有目的的。
在頁面載入並且選項卡已打開很長時間後,瀏覽器可以在這些非活動選項卡中瀏覽頁面的來源。 如何? 它與 同源策略,一個在線安全概念。 這是當瀏覽器允許一個網頁的腳本訪問另一個網頁的數據時,如果兩個網頁具有相同的來源(主機名、埠號和 URI 方案)。 該策略的目的是防止惡意活動。 如果首頁上有惡意腳本,則會阻止它從其他網頁獲取敏感數據。 但是,這種安全措施也是使 tabnapping 成為可能的原因。
在攻擊過程中,攻擊者發送一個帶有 target=_blank 屬性的網頁,並在其中嵌入惡意鏈接。 用戶單擊惡意鏈接,這將打開一個新選項卡。 然後,黑客將第一個選項卡更改為虛假的網路釣魚頁面。 這會誘使用戶認為他們已註銷帳戶並必須再次登錄。
網站所有者如何使用 rel=」noopener」 屬性防止 Tabnapping
一些瀏覽器具有擴展或其他安全措施來防禦 tabnapping 攻擊。 但是,並非所有瀏覽器都允許禁用非活動標籤重定向,因為在某些情況下它們是合法的。 而且由於 tabnapping 不是很常見(儘管對於預防措施來說仍然足夠重要),這些瀏覽器供應商不想為了增強安全性而冒險破壞他們的應用程序。 這意味著某些瀏覽器可能永遠不會有解決方案或補丁來防止 tabnapping。 但是,您仍然可以採取一些措施來防止對您的讀者進行此類攻擊。
為防止在您的網站上出現標籤頁,請將 rel=」noopener」 屬性添加到任何設置為在新標籤頁或窗口中打開的鏈接。 當您添加鏈接然後選擇在新選項卡中打開時,WordPress 會自動為您添加此屬性。
但是,由於 rel=」noopener」 不適用於 Firefox 和一些較舊的瀏覽器,因此您應該添加另一個屬性:rel=」noreferrer」 如果您是最新的,WordPress 還會將其添加到新選項卡中的鏈接。
無論您是否使用 WordPress,您的鏈接都應該是這樣的,以防止 tabnapping:
用戶如何保護自己免受 Tabnapping 的影響
主要瀏覽器通常具有某種過濾器來清除惡意站點以及受感染的合法站點。 只要這些站點的黑名單是最新的,tabnapping 攻擊就可能會被阻止。 如果您看到您嘗試訪問的站點已被入侵的通知,請注意該警告。 這不是開玩笑。
用戶還應該在輸入登錄信息之前始終檢查 URL,特別是如果他們的標籤頁已經打開了很長時間。 攻擊者不太可能偽造合法網站的 URL,因此這可能是假的。 如果 URL 發出危險信號,請立即關閉選項卡。 不要鍵入、單擊或交互。 關閉它。
密碼管理器也很有幫助。 如果您的登錄憑據鏈接到合法網站,則它們應該僅在您在實際網站上時填充 – 而不是在您在看起來相似的惡搞網站上時填充。 密碼管理器與 URL 協調,而不是企業名稱。 如果您沒有看到登錄憑據彈出窗口,請關閉選項卡並重新開始。
其他類型的瀏覽器劫持威脅
Tabnapping 並不是唯一需要注意的瀏覽器劫持威脅類型。 網路攻擊者有各種方式來獲取您的點擊並竊取您的信息。 一般來說,瀏覽器劫持是一種改變瀏覽器行為或外觀的軟體,它也可能對設置進行更改。 當然,這一切都是在未經您同意的情況下發生的。
結果,黑客可以獲得收入,收集您的數據,甚至記錄您的擊鍵。 最終,如果他們收集到足夠的信息來建立您的完整檔案,他們就可以竊取您的身份。 瀏覽器劫持的類型包括:
- 使用按點擊付費的彈出式廣告淹沒您的瀏覽器的廣告軟體。 這種類型的攻擊通常會降低您的計算機速度,因為它會佔用大量資源。
- Cookie 跟蹤以密切關注您的在線活動。 不良行為者可以找出一切,從您的位置和 IP 地址到您查看的頁面和搜索的內容。
- 重定向到危險網頁或搜索引擎或替換您的主頁或默認搜索引擎。
- 收集您的私人數據的間諜軟體,然後在數據市場上進行交易(通常也以身份盜竊告終)。
為了保護自己,請注意瀏覽器的狀態並注意黑客入侵的跡象,就像上面描述的那樣。 還要留意瀏覽器的載入項、擴展程序和插件。 如果安裝軟體後出現問題,請立即將其刪除。 您還應該通過定期清潔和保持瀏覽器清潔 緩存清除. 當然,定期使用防病毒軟體,並儘可能避免使用公共和/或不安全的 Wi-Fi。
總結
回顧一下,tabnapping 攻擊使用戶認為他們自己打開了標籤,並且網站只是超時了。 原始頁面鏈接到第二個頁面,第二個頁面能夠重寫原始頁面並將其替換為網路釣魚站點。 由於用戶從合法頁面開始,他們不太可能注意到它是一個替代頁面。 該頁面的設計看起來像原來的。 當用戶登錄到「原始」頁面時,他們的憑據會完全傳輸到其他地方。
為儘可能避免標籤頁,請不要登錄不是您自己打開的標籤頁。 即使您認為您打開了該選項卡,如果您在一段時間不活動後返回登錄頁面,請關閉它以確保安全,然後返回網站打開一個新頁面。 也要經常檢查 URL。 當遇到其他瀏覽器劫持威脅時,請養成良好的瀏覽器衛生習慣——限制並注意您使用的軟體,定期清除瀏覽器緩存,並投資購買優質的防病毒軟體。
您可能還想閱讀我們關於 cookie 劫持以及如何防止它.
你有沒有被你的瀏覽器tabnapped? 在評論中告訴我們吧!
Legend_art / Shutterstock.com 的特色圖片