Was ist Reverse Tabnabbing und wie kann man es verhindern?
Reverse Tabnabbing oder einfach Tabnabbing ist ein Phishing-Angriff, bei dem ein Angreifer ein Opfer dazu verleitet, seine Anmeldeinformationen auf einer vom Angreifer kontrollierten gefälschten Website einzugeben. Ich weiß, das könnte viele verschiedene Online-Angriffe beschreiben. Und während viele Online-Angriffe gefälschte Webseiten erstellen, um Benutzerdaten zu stehlen, erreicht Reverse Tabnabbing dies auf einzigartige und clevere Weise.
Reverse-Tabnabbing-Angriffe können sehr schwerwiegende Folgen haben, je nachdem, welche Zugangsdaten sie kompromittieren. Glücklicherweise ist der Schutz vor diesen Angriffen recht einfach. In diesem Artikel werden wir darüber sprechen, was Reverse Tabnabbing ist, wie es funktioniert und wie man es verhindert.
Übersicht über Reverse-Tabnabbing-Angriffe
So könnte ein umgekehrter Tabnabbing-Angriff funktionieren:
- Das Opfer hat eine Website in einem Tab in seinem Browser geöffnet. Nehmen wir an, sie sind auf Facebook. Sie loggen sich auf der Website ein und sehen, dass jemand etwas auf ihrer Pinnwand gepostet hat: ein Angebot für etwas zu einem reduzierten Preis oder etwas anderes, an dem das Opfer interessiert sein könnte.
- Das Opfer klickt ahnungslos auf den Link und wird auf die Website mit dem Angebot in einem neuen Tab weitergeleitet. Bei dieser Website handelt es sich tatsächlich um eine bösartige Website, die vom Angreifer kontrolliert wird.
- Während sich das Opfer das gefälschte Angebot auf der bösartigen Website ansieht, erzwingt die bösartige Website eine Weiterleitung des ursprünglichen Facebook-Tabs des Opfers auf eine gefälschte geklonte Website, die vom Angreifer kontrolliert wird und genau wie die Anmeldeseite von Facebook aussieht.
- Die gefälschte Facebook-Seite fordert das Opfer dazu auf, seine Zugangsdaten erneut einzugeben. Auch wenn das Opfer weiß, dass es sich bereits angemeldet hat, besteht eine gute Chance, dass es einfach seine E-Mail-Adresse und sein Passwort erneut eingibt und denkt, dass ein kleiner Fehler aufgetreten sein muss. Schließlich kommen solche Störungen relativ häufig vor.
- Wenn das Opfer seine Zugangsdaten auf der gefälschten Website eingibt, hat es lediglich seine Zugangsdaten an den Angreifer weitergegeben und sein Konto kompromittiert.
Wie funktionieren Reverse-Tabnabbing-Angriffe?
Reverse-Tabnabbing-Angriffe sind auf Websites möglich, die es Benutzern ermöglichen, Links zu posten, die beim Anklicken in einem neuen Tab geöffnet werden. Der Link wird aufgrund des |_+_| des Links in einem neuen Tab geöffnet Eigentum.
Wenn ein Benutzer auf einen mit |_+_| erstellten Link klickt, fügt sein Webbrowser zwei Variablen in die Zielseite ein:
- |_+_|
- |_+_|
Das |_+_| Die Eigenschaft speichert die Quellwebseite, auf der auf den Link geklickt wurde (die verweisende Webseite).
Das |_+_| Die Eigenschaft gibt einen Verweis auf das übergeordnete Fenster (das Fenster, das das Fenster geöffnet hat) mit |_+_| zurück Eigentum. Sie können die window.opener-Eigenschaft des Zielfensters verwenden, um Details zum übergeordneten Fenster abzurufen und Änderungen daran vorzunehmen, z. B. die Umleitung des ursprünglich geöffneten Tabs des Opfers auf eine gefälschte, aber legitim aussehende Seite, auf der es zur Eingabe seiner Anmeldeinformationen aufgefordert wird. Das ist der Kern des Angriffs.
Detailliertes Beispiel eines Reverse-Tabnabbing-Angriffs
Nehmen wir an, ein Angreifer postet den folgenden Link in einem sozialen Netzwerk:
|_+_|Wenn das Opfer auf den obigen Link klickt, öffnet sein Browser „evilsite.com“ in einem neuen Tab. Da der neue Tab über einen Link geöffnet wurde, der |_+_| verwendete, kann der Angreifer |_+_| ausnutzen und |_+_| Eigenschaften. Schauen wir uns an, wie der Code von evilsite.com aussehen könnte:
|_+_|Während sich das Opfer den gefälschten Deal auf evilsite.com ansieht, leitet evilsite.com den ursprünglichen Tab des Opfers auf eine gefälschte Anmeldeseite weiter, die offenbar von der Website stammt, die das Opfer geöffnet hatte. In unserem Beispiel oben war das Opfer bei Facebook angemeldet, sodass der Angreifer die gefälschte Anmeldeseite so gestaltet hat, dass sie wie die tatsächliche Anmeldeseite von Facebook aussieht.
Es ist das |_+_| Eigenschaft, die die Umleitung ermöglicht. Wenn das Opfer seine Zugangsdaten auf der umgeleiteten Seite eingibt, gibt es diese unabsichtlich an den Angreifer weiter.
Wie Sie sehen, sind Reverse-Tabnabbing-Angriffe eigentlich ganz einfach. Der Schaden, den sie anrichten, kann jedoch katastrophal sein, je nachdem, welches Konto kompromittiert wurde. Glücklicherweise ist es nicht allzu schwierig, sich vor dieser Art von Angriff zu schützen, wie wir weiter unten sehen werden.
Umgekehrte Tabnabbing-Angriffe in freier Wildbahn
Im April 2017 war es soweit gemeldet dass die russische Hackergruppe APT28 einen Angriff gegen den damaligen französischen Präsidentschaftskandidaten Emmanuel Macron gestartet hatte. Dies ist dieselbe Gruppe, die angeblich hinter dem DNC-E-Mail-Hack von 2016 steckt.
Sicherheitsanalysten der dänischen Regierung, die einen Bericht über den Vorfall verfassten, nachdem sie APT28 beschuldigt hatten, für den Angriff der dänischen Regierung verantwortlich zu sein, sagten, die bei dem Macron-Angriff verwendete Technik sei Tabnabbing gewesen E-Mail-Hack des Verteidigungsministeriums .
Obwohl sich der hier beschriebene Angriff geringfügig von unserem Playbook-Beispiel oben unterscheidet, besteht darin, dass eine zusätzliche Weiterleitung von der bösartigen Website (die geöffnet wird, wenn das Opfer auf den Webmail-Link klickt) zur legitimen Konferenz-Website erfolgt. Vor der Weiterleitung auf die legitime Website wird die bösartige Website ihr Bestes geben und den geöffneten Webmail-Tab ändern.
Aus dem Bericht:
„Pawn Storm hat eine Variante des Tabnabbing verwendet. In diesem Angriffsszenario erhält das Ziel eine E-Mail, die angeblich von einer Website stammt, an der es interessiert sein könnte – möglicherweise von einer Konferenz, die es wahrscheinlich besuchen wird, oder einer Nachrichtenseite, die es abonniert hat. Die E-Mail enthält einen Link zu einer URL, die sehr legitim aussieht. Wenn das Ziel seine E-Mail liest und auf den Link klickt, wird diese in einem neuen Tab geöffnet. Auf dieser neuen Registerkarte wird die legitime Website eines Konferenz- oder Nachrichtenanbieters angezeigt, nachdem sie von einer Website unter der Kontrolle der Angreifer umgeleitet wurde. Das Ziel wird wahrscheinlich einige Zeit damit verbringen, diese legitime Website zu durchsuchen. Abgelenkt bemerkte er wahrscheinlich nicht, dass kurz vor der Umleitung ein einfaches Skript ausgeführt wurde, das den ursprünglichen Webmail-Tab in eine Phishing-Site änderte. Wenn das Ziel den Nachrichtenartikel oder die Konferenzinformationen auf der legitimen Website zu Ende gelesen hat, kehrt es zum Tab seines Webmails zurück. Er wird darüber informiert, dass seine Sitzung abgelaufen ist und die Site seine Anmeldeinformationen erneut benötigt. Dann wird er wahrscheinlich sein Passwort erneut eingeben und seine Zugangsdaten an die Angreifer weitergeben.“
Wie kann man Reverse-Tabnabbing-Angriffe verhindern?
Wie Sie sich vor Reverse-Tabnabbing-Angriffen schützen können, hängt davon ab, auf welcher Seite des Angriffs Sie sich befinden: der Serverseite oder der Benutzerseite. Wir werden uns beide ansehen.
Verhinderung von Reverse-Tabnabbing-Angriffen von der Serverseite
Auf der Serverseite ist der Schutz vor Reverse-Tabnabbing-Angriffen recht einfach. Dies wird jedoch auf zwei Arten angewendet, je nachdem, ob Ihre Website HTML oder JavaScript zum Öffnen neuer Fenster verwendet. Wir zeigen Ihnen beide Möglichkeiten.
HTML
In HTML müssen wir sicherstellen, dass |_+_| festgelegt wird HTML-Attribut mit den Parametern noreferrer und nooperner, wenn der Webserver/die Anwendung Links erstellt.
Nimmt man das gleiche Beispiel wie oben, würde dies so aussehen (Hervorhebung von mir):
|_+_||_+_| stellt sicher, dass die verlinkte Seite keinen Zugriff auf |_+_| hat von der Quellseite. Während |_+_| stellt sicher, dass der Request-Referer-Header nicht zusammen mit der Anfrage gesendet wird. Auf diese Weise sieht die Zielseite nicht die Ursprungs-URL, von der der Benutzer kommt.
JavaScript
Mit JavaScript können wir dasselbe wie oben erreichen, indem wir |_+_| festlegen Eigenschaft auf null setzen. Das würde so aussehen (wiederum meine Betonung):
|_+_|Wenn Sie benutzergenerierte Inhalte anzeigen möchten, sollten Sie außerdem sicherstellen, dass der Server die Benutzereingaben bereinigt und „|_+_|“ anwendet. zu jedem generierten Link. Etwa so:
|_+_|Verhinderung von Reverse-Tabnabbing-Angriffen auf Benutzerseite
Als Benutzer können Sie nicht viel tun. Das meiste davon hängt davon ab, grundlegende Sicherheitsvorkehrungen zu befolgen, die für praktisch jede Online-Aktivität gelten. Wir werden darauf zurückkommen.
Aber zunächst gibt es etwas Konkretes, das Sie als Benutzer tun können, um sich vor Reverse-Tabnabbing-Angriffen zu schützen. Sie müssen jedoch Mozilla Firefox als Webbrowser verwenden. Firefox ist Open Source und verfügt über viele Tools, die Ihre Privatsphäre und Sicherheit sofort verbessern. Daher würde ich die Verwendung trotzdem empfehlen.
Firefox-Korrektur
- Öffnen Sie ein neues Fenster in Firefox.
- Geben Sie in der URL-Leiste Folgendes ein: about:config und schlagen Zurückkehren . Eine Warnmeldung wird angezeigt.
- Klicken Akzeptieren Sie das Risiko und machen Sie weiter .
- Geben Sie in der Suchleiste Folgendes ein: dom.targetBlankNoOpener.dom . Der dom.targetBlackNoOperner.enabled Eigenschaft angezeigt wird.
- Setzen Sie den Wert auf WAHR . Schließe das Fenster.
Dies verhindert, dass Ihr Browser die Eigenschaft window.opener verwendet. Sie sollten also vor Reverse-Tabnabbing-Angriffen sicher sein, wenn Sie Firefox wie oben konfiguriert verwenden.
Sie können auch im Internet allgemeine Wachsamkeit walten lassen und die folgenden Tipps befolgen.
- Verwenden Sie eine Firewall – Alle gängigen Betriebssysteme verfügen über eine integrierte eingehende Firewall und alle kommerziellen Router auf dem Markt verfügen über eine integrierte NAT-Firewall. Stellen Sie sicher, dass diese aktiviert sind, da sie Sie möglicherweise schützen, falls Sie auf einen schädlichen Link klicken.
- Klicken Sie niemals auf Pop-ups . Man weiß nie, wohin man als nächstes gebracht wird.
- Wenn Ihr Browser eine Warnung anzeigt Informationen zu einer Website, auf die Sie zugreifen möchten, sollten Sie Passt auf und erhalten Sie die Informationen, die Sie benötigen, an anderer Stelle. Wenn bei einem Reverse-Tabnabbing-Angriff die Website des Angreifers ein selbstsigniertes oder anderweitig ungültiges HTTPS-Zertifikat verwendet, werden Sie von Ihrem Browser darüber gewarnt. Und das Abhören Ihres Browsers kann Sie vor einem Tabnabbing-Angriff bewahren.
- Klicken Sie nicht auf Anzeigen. Tu es einfach nicht. Unabhängig davon, ob es sich bei der Anzeige um ein Banner, ein Pop-up oder einen Benutzerbeitrag handelt. Wenn Sie an etwas interessiert sind, können Sie es mithilfe einer Suchmaschine wahrscheinlich in wenigen Sekunden selbst finden.
- Begrenzen Sie die Menge an persönlichen Informationen, die Sie im Internet veröffentlichen. Je mehr Informationen über Sie öffentlich verfügbar sind, desto leichter können Sie manipuliert werden. Das Internet ist ein feindseliger Ort, an dem es nicht an Akteuren mangelt, die nur darauf warten, Sie auszunutzen. Bevor Sie etwas Aufschlussreiches posten, fragen Sie sich, ob es wirklich notwendig ist oder nicht.
Einpacken
Da haben Sie es also. Reverse-Tabnabbing-Angriffe können schwerwiegende Folgen haben. Aber zumindest lässt sich die Schwachstelle mit ein wenig Coding-Etikette leicht beheben. Und denken Sie noch einmal daran, dass das Internet ein feindseliges Netzwerk ist, und behandeln Sie es auch als solches. Sie möchten nicht das schwächste Glied Ihrer eigenen Online-Sicherheit sein.
Bleib sicher.