Sebagian besar dari Anda sadar Phishing, di mana proses penipuan dimulai dengan maksud memperoleh informasi sensitif seperti kata sandi dan detail kartu kredit, dengan menghadirkan diri sebagai entitas yang sah. Tetapi bagaimana jika Anda berada di halaman yang sah dan halaman yang Anda cari, berubah menjadi halaman palsu, setelah Anda mengunjungi tab lain? Ini disebut Tabnabbing!
Bagaimana Tabnabbing bekerja
- Anda menavigasi ke situs web asli.
- Anda membuka tab lain dan menjelajahi situs lain.
- Setelah beberapa saat Anda kembali ke tab pertama.
- Anda akan disambut dengan detail info masuk baru, mungkin ke akun Gmail Anda.
- Anda login lagi tidak mencurigai bahwa halaman, termasuk favicon, sebenarnya telah berubah di belakang Anda!
Ini semua bisa dilakukan hanya dengan sedikit JavaScript yang berlangsung seketika. Saat pengguna memindai banyak tab terbuka, favicon dan judul bertindak sebagai isyarat visual yang kuat - memori mudah dibentuk dan dapat dicetak dan pengguna kemungkinan besar akan berpikir bahwa mereka membiarkan tab Gmail terbuka. Ketika mereka mengeklik kembali ke tab Gmail palsu, mereka akan melihat laman masuk Gmail standar, menganggap mereka telah keluar, dan memberikan kredensial mereka untuk masuk.
Serangan itu memangsa immutability tab yang dirasakan. Setelah pengguna memasukkan informasi masuk mereka dan Anda telah mengirimnya kembali ke server Anda, Anda mengalihkan mereka ke Gmail. Karena mereka tidak pernah keluar di tempat pertama, akan tampak seolah-olah proses masuk berhasil.
Anda mengunjungi halaman web, Anda beralih ke tab lain, dan di belakang Anda, halaman pertama Anda akan berubah!
Reverse Tabnabbing
Reverse Tabnabbing terjadi menggunakan penyerang window.opener.location.assign () untuk mengganti tab latar belakang dengan dokumen jahat. Tentu saja, tindakan ini juga mengubah bilah alamat dari tab latar belakang, tetapi penyerang berharap bahwa korban akan kurang perhatian dan secara membabi buta akan memasukkan kata sandi atau informasi sensitif lainnya ketika kembali ke tugas latar belakang, kata Google.
Jalan keluarnya adalah jika semua pemilik situs menggunakan tag berikut:
target='_blank' rel='noopener noreferrer'
Untuk mencegah kerentanan ini dieksploitasi, WordPress telah mulai menambahkan tag noreferrer noopener secara otomatis sekarang.
Sekarang lihat tombak Spear Phishing, Whaling, dan Vishing dan Smishing.
