Un investigador ha desarrollado un nuevo tipo de ataque de robo de identidad que se aprovecha de la forma en que los navegadores manejar la navegación por pestañas, y permite a un atacante utilizar un código que se ejecuta en una de ellas para cambiar por completo el contenido en otra. El ataque, demostrado por Aza Raskin de Mozilla, podría ser utilizado para intrusiones dirigidas a clientes de un determinado banco, servicio de correo web o compañías de tarjetas de crédito.

La nueva técnica de robo de identidad que usa las pestañas del navegador, se basa en la visita del usuario a un sitio controlado por un atacante que incluye un script malicioso. Cuando el usuario visita el sitio, el código del atacante detecta que otras pestañas el usuario tiene abiertas en su navegador y verifica cuales no han sido visitadas. Posteriormente el código JavaScript cambia el favicon de esa pestaña y el contenido de la página a conveniencia del atacante.

[Vea el video de demostración en: Nuevo ataque de robo de identidad explota la navegación por pestañas]

En el ejemplo que Raskin incluye en su sitio, el código cambia la página para que aparente ser el sitio de Gmail. Sin embargo, un atacante podría fácilmente elegir el diseño y fingir que es la página de acceso de Bank of America o cualquier otro sitio que proporcione credenciales de inicio de sesión de alto valor.

La idea es que la víctima se enfoque en la pestaña abierta, y “recuerde” que la dejo disponible en Gmail o Bank of America para acceder posteriormente. Una vez que se introducen las credenciales, el atacante simplemente redirigir a la víctima al sitio indicado, el cual se muestra correctamente debido a que el usuario nunca cerró la sesión que inicio.

“A medida que el usuario explora las diversas pestañas abiertas, el favicon y el título actúan como una fuerte señal visual. La memoria es maleable y moldeable, y es muy probable que el usuario simplemente piense que dejó una pestaña de Gmail abierta. Al dar clic de nuevo en la pestaña de Gmail falsa, verá la tradicional página de entrada a Gmail, asumiendo que ha cerrado la sesión, y proporciona sus credenciales para iniciar sesión nuevamente. La presa es atacada gracias a la inmutabilidad percibida de las pestañas”, escribe Raskin en su blog sobre el ataque.

Raskin especula que la técnica podría ser usada en diferentes escenarios, incluso combinado con otras tácticas, como la extracción del historial CSS para así dirigirse a clientes de un servicio específico o una institución financiera.

“Por ejemplo, se puede detectar si un visitante es un usuario de Facebook, de Citibank, de Twitter, etc, y luego bajo demanda cambiar el favicon y la pantalla de acceso a la página adecuada “, escribió. “Siendo más sinuosos, existen varios métodos para saber si un usuario está conectado a un servicio.

Estos métodos van desde ataques basados en el tiempo de carga de las imágenes, para ver dónde se producen errores al cargar una página HTML dentro de una etiqueta del código*. Una vez que conoces los servicios a los cuales el usuario está conectado, el ataque se vuelve aún más efectivo.”

Vía| threatpost.com