El experto en diseño de interfaces del proveedor de Firefox, Aza Raskin, ha revelado un nuevo tipo de ataque de phishing conocido como tab napping, que aprovecha las múltiples pestañas que el usuario abre en su navegador.
Según Raskin, el phishing tradicional engaña a los usuarios haciéndoles que den clic en una URL y revelen sus datos personales en lo que piensan es una página Web legítima. Pero, ahora la mayoría de la gente conoce este timo ya no accede en los enlaces de los correos que supuestamente proceden de una organización legítima.
El proceso del tap napping aprovecha el hecho de que los usuarios de Internet están convencidos de que las páginas que se abren en pestañas permanecen invariables cuando se accede a otros servicios de Internet.
Sin embargo, un código JavaScript instalado en una página inocua puede hacer que cambie cuando el usuario no mira, porque está en otra pestaña, y mute a una página falsa donde pide al internauta que se registre. El usuario apenas percibirá el cambio y asumirá que ha dejado abierta, por ejemplo, la página de inicio de Gmail y se volverá a logar.
Acerca de este nuevo timo en Internet, la Web Scam Detectives advierte, que siempre que alguien se registra en una página Web, sin importar que haya más pestañas abiertas en el navegador, los usuarios deberían comprobar la URL y que están utilizando una dirección HTTPS:// segura. “Si la URL no es correcta o no hay ningún candado, cierre la pestaña, abra una nueva y escriba de nuevo la URL”, señala Charles Conway, editor de Scam Detectives. “E incluso mejor, cree una política para que no dejar que las Webs que requieran ‘login’ seguro se abran en otras pestañas”.
También en Hispasec han publicado sus recomendaciones para evitar este tipo de ataque. En su opinión, este tipo de ataque no se pondrá en práctica de forma masiva, “aunque obviamente puede ser utilizado selectivamente. La razón es que el phishing tradicional, burdo y sin trucos, sigue funcionando y reportando importantes beneficios a quienes lo ponen en práctica sin mayores complicaciones técnicas. Y ambos se basan en que el usuario medio no aprovecha los beneficios de los certificados ni se fija en las URLs donde introduce las contraseñas”.
