Umulig å stoppe ny type fanetyveri

Umulig å stoppe ny type fanetyveri

Alle nettlesere på Windows og Mac er sårbare for nytt angrep.

En ny type angrep har dukket opp, der skurken simpelthen kaprer folks faner. Angrepets oppfinner kaller det «tabnapping». Ved i all hemmelighet å endre faner som allerede er åpne, kan de lure folk til å oppgi for eksempel passord. Alle større nettlesere til både Windows og Mac Os X er sårbare.

Det er en våken ansatt i Mozilla som mandag kom frem til den nye angrepsformen, skriver Computerworlds nyhetstjeneste. Aza Raskin peker på at de fleste har flere faner åpne, gjerne over lengre tidsperioder.

I Raskins teknikk lurer identitetsskurkene offeret til å besøke en ondsinnet eller kompromittert nettside – noe som ikke er spesielt vanskelig å få folk til å gjøre i dagens nettverden som er full av svindel og spam. Deretter kan skurken bruke Javascript-kode til i all stillhet å bytte ut innholdet i den allerede åpne, ikke aktive fanen, og få den til å se ut som for eksempel Gmail eller en nettbank.

- Når brukeren ser gjennom alle sine åpne faner, vil fav-ikonet (det lille logo-ikonet ved siden av fanetittelen, journ.anm.) og tittelen på fanen fungere som et visuelt bokmerke – minnet er tøyelig, og de fleste brukerne vil trolig tenke de for eksempel lot en Gmail-fane ligge åpen. Når de klikker seg tilbake til fanen, vil de se det som ser ut som en Gmail-side. De vil anta at de har logget ut, og oppgi brukernavn og passord for å logge inn på nytt, sier Raskin.

Kan videreutvikles

Skurkene endrer ikke det som blir stående i adressefeltet, skurkenes http-adresse, og svindelen baserer seg på brukernes antagelse om at faner ikke plutselig kan endre innhold.

Raskin har foreslått flere måter angriperen kan videreutvikle angrepet på, alt fra å overvåke sider brukeren besøker til å åpne et «Du har logget ut fra Facebook. Logg inn for å se siden» som pop-up.

- Du kan rett og slett si at sesjonen har gått ut på tid, og at brukeren må logge inn igjen. Dette skjer ofte på bank-nettsider, som gjør dem enda mer følsomme for angrepet, sier han.

Computerworlds nyhetstjeneste har testet ut Raskins beviskode, den såkalte proof-of-concept-koden, som han har lagt ut på sin blogg. Ganske riktig kunne man trikse med Gmail-faner på Chrome, Firefox, Opera og Safari på Mac Os X. På Windows XP kunne de gjøre det samme på Chrome, Firefox, Internet Explorer og Opera.

- Vrient å løse

Enkelte nettlesere var mer mottakelige enn andre for angrepet. På både Windows XP og Mac Os X i Firefox ble bare fav-ikonet endret. I andre nettlesere ble tittel og selve nettsiden endret, men ikke fav-ikonet.

Google Chrome virket særlig robust mot angrepet, ifølge vår nyhetstjeneste. På Mac endret angrepet fanen noen ganger, men i hovedsak ble fanen uendret. Computerworld har ikke klart å redegjøre på hvorfor de fikk slike variable resultater.

Raskin har ikke besvart Computerworlds spørsmål om hvordan nettlesere skal klare å unngå slike angrep. I bloggen fronter han et nytt verktøy for brukernavn og passord som heter Account Manager, og som er ment å dukke opp i Firefox 4.0 i november.

Andrew Storms i Ncircle Security tror ikke det blir lett å løse problemet.

- Jeg kan på stående fot ikke komme på en måte å fikse det på. Det er en del av den nye, dynamiske måten for nettsurfing. Du kan endre utseende og opplevelsen av et nettsted, både på godt og vondt.

Microsoft sier de undersøker Raskins problemstilling, men tror ikke de vil stresse med å sende ut en lappesak for feilen. Hvis det kommer en fiks for Internet Explorer, vil den mest trolig komme i en service pack eller i en større lansering av ny nettleser, for Microsofts del versjon 9 som fremdeles ligger på utviklernes bord.

Her er en video som illustrerer angrepet:

A New Type of Phishing Attack from Aza Raskin on Vimeo.