Como proteger seu site contra tabnapping e seqüestro de navegador

Quantas vezes você abriu uma guia, apenas para sair dela por alguns minutos, horas ou até mesmo durante a noite? Quando você retornar a essa guia, ter que fazer login novamente não é inesperado. Afinal, quem acompanha o cronograma de atualização de cada página e o temporizador de logout? Não nós! Esse tipo de comportamento torna as páginas da web vulneráveis ​​ao tabnapping – e esse tipo de ataque cibernético ataca usuários de sites que lidam com informações privadas, como provedores de e-mail e portais de mídia social. O Tabnapping depende da confiança do usuário nos sites com os quais está familiarizado, juntamente com a falta de atenção aos detalhes, especialmente quando se trata das guias abertas.

Nota: Às vezes, você verá “tabna pp ing” escrito como “tabna bb ing”. O termo “tabnapping” é uma combinação de “tab” e “sequestro”. É lógico que “tabnabbing” é uma combinação de “tab” e “nab”. De qualquer forma, ambos se referem ao mesmo esquema e, no nosso caso, vamos com a versão “tabna pp ing”.

O que é Tabnapping?

Tabnapping é um tipo específico de ataque de exploração e phishing. Com o tabnapping, o invasor cria sites que imitam sites populares. Em seguida, o hacker convence os usuários a enviar suas informações de login, incluindo suas senhas, para o site falso. Muitas vezes, os sites falsos se parecem tanto com os sites reais que os usuários estão acostumados a ver que não percebem a diferença. O usuário pensa que o site é genuíno e não hesita em inserir suas informações de login, como sempre fez.

O que separa o tabnapping de outros tipos de ataques de phishing (como clicar em um link falsificado em um email) é que o usuário geralmente não percebe que a guia é falsa. A página de login falsa é carregada em uma guia que já está aberta no navegador há muito tempo . A maioria das pessoas não pensaria que uma guia que eles mesmos abriram foi tomada.

Os ataques de tabnapping são especialmente bem-sucedidos quando o invasor pode ver os sites que o usuário carrega com frequência - eles podem simular os sites nos quais o usuário faz login regularmente.

Digamos que você acesse o site do seu banco com a intenção de fazer login. Você vai diretamente para a página de login digitando o URL. Mas então você é pego fazendo outra coisa em outra guia ou janela. Depois de cerca de uma hora, você clica novamente na guia do banco porque está pronto para fazer login para verificar suas contas.

No caso de um ataque de tabnapping, nesse ponto, o navegador navegou para uma página que está se passando pela página do banco. Mas você verá uma página que se parece exatamente com a página do banco em que você esteve cem vezes e abriu mais cedo naquele dia.

Como funciona o Tabnapping

Nos navegadores, links externos podem ser abertos em novas guias ou janelas se os elementos HTML HREF tiverem atributos target=_blank especificados. Infelizmente, isso torna os usuários vulneráveis ​​a ataques de tabnapping. Às vezes, o tabnapping é considerado uma falha de design em alguns navegadores. No entanto, enquanto os navegadores não são propositalmente vulneráveis ​​a hackers e manipulação, o design que permite tabnapping é proposital.

Depois que uma página é carregada e a guia fica aberta por um longo tempo, os navegadores podem navegar pela origem de uma página nessas guias inativas. Como? Tem a ver com a política de mesma origem, um conceito de segurança online. É quando um navegador permite que scripts de uma página da Web tenham acesso a dados de outra página da Web se ambas as páginas da Web tiverem a mesma origem (nome do host, número da porta e esquema de URI). O objetivo da política é impedir atividades maliciosas. Se houver um script malicioso na primeira página, ele será impedido de obter dados confidenciais de outras páginas da web. No entanto, essa medida de segurança também é o que torna possível o tabnapping.

Durante um ataque, o invasor envia uma página da Web com o atributo target=_blank e incorpora um link malicioso nela. O usuário clica no link malicioso, que abre uma nova guia. Em seguida, o hacker altera a primeira guia para uma página de phishing falsa. Isso induz o usuário a pensar que ele saiu de sua conta e precisa fazer login novamente.

Como os proprietários de sites podem impedir o Tabnapping com o atributo rel=”noopener”

Alguns navegadores possuem extensões ou outras medidas de segurança que protegem contra ataques de tabnapping. No entanto, nem todos os navegadores permitem desabilitar redirecionamentos de guias inativas porque há casos em que eles são legítimos. E como o tabnapping não é muito comum (embora ainda seja importante o suficiente para medidas de prevenção), esses fornecedores de navegadores não querem arriscar quebrar seus aplicativos para melhorar a segurança. Isso significa que alguns navegadores podem nunca ter soluções ou patches para evitar tabnapping. No entanto, ainda existem etapas que você pode tomar para evitar esse tipo de ataque aos seus leitores.

Para evitar tabnapping em seu site, adicione o atributo rel=”noopener” a qualquer link configurado para abrir em uma nova guia ou janela. O WordPress adiciona automaticamente esse atributo para você quando você adiciona um link e seleciona Abrir em uma nova guia .

No entanto, como rel=”noopener” não funciona no Firefox e em alguns navegadores mais antigos, há outro atributo que você deve adicionar: rel=”noreferrer” que o WordPress também adiciona aos links em novas guias se você estiver atualizado.

Se você está ou não usando o WordPress, é assim que seus links devem ser para evitar tabnapping:

Como os usuários podem se manter seguros de tabnapping

Os principais navegadores geralmente têm algum tipo de filtro para eliminar sites maliciosos, bem como sites legítimos com infecções. Enquanto as listas negras desses sites estiverem atualizadas, os ataques de tabnapping provavelmente serão bloqueados. Se você vir um aviso de que um site que você está tentando acessar foi comprometido, preste atenção a esse aviso. Não é brincadeira.

Os usuários também devem sempre verificar o URL antes de inserir suas informações de login, principalmente se tiverem abas que estão abertas há muito tempo. É improvável que os invasores consigam falsificar o URL do site legítimo, de modo que pode ser uma oferta inoperante de que é falso. Feche a guia imediatamente se o URL enviar uma bandeira vermelha. Não digite, clique ou interaja. Basta fechá-lo.

Os gerenciadores de senhas também são úteis. Se suas credenciais de login estiverem vinculadas ao site legítimo, elas devem ser preenchidas apenas quando você estiver no site real, não quando estiver em um site falso semelhante. Os gerenciadores de senhas coordenam com a URL, não com o nome da empresa. Se você não vir o pop-up de credenciais de login, feche a guia e comece de novo.

Outros tipos de ameaças de seqüestro de navegador

Tabnapping não é o único tipo de ameaça de seqüestro de navegador que você deve conhecer. Os ciberataques têm todos os tipos de maneiras de obter seus cliques e roubar suas informações. Em geral, o seqüestro de navegador é um software que altera o comportamento ou a aparência de um navegador e também pode fazer alterações nas configurações. Isso tudo acontece sem o seu consentimento, é claro.

Como resultado, o hacker pode obter receita, coletar seus dados e até registrar suas teclas. Em última análise, eles podem roubar sua identidade se coletarem informações suficientes para criar um perfil completo de você. Os tipos de seqüestro de navegador incluem:

• Adware que inunda seu navegador com anúncios pop-up que pagam por clique. Esse tipo de ataque geralmente deixa seu computador mais lento porque consome muitos recursos.
• Rastreamento de cookies para manter o controle sobre o que você faz online. Atores mal-intencionados podem descobrir tudo, desde sua localização e endereço IP até quais páginas você visualiza e o que procura.
• Redirecionamento para páginas da web ou mecanismos de pesquisa perigosos ou substituição de sua página inicial ou mecanismo de pesquisa padrão.
• Spyware que coleta seus dados privados, que são negociados em mercados de dados (o que também geralmente termina em roubo de identidade).

Para se defender, fique atento ao estado do seu navegador e fique atento aos sinais indicadores de um hack, como os descritos acima. Fique de olho nos complementos, extensões e plug-ins do navegador também. Se algo der errado após a instalação do software, remova-o imediatamente. Você também deve manter seu navegador limpo com limpeza regular e limpeza de cache. E, claro, use software antivírus regularmente e evite usar Wi-Fi público e/ou não seguro sempre que possível.

Empacotando

Para recapitular, os ataques de tabnapping fazem os usuários pensarem que eles mesmos abriram a guia e que o site acabou de expirar. A página original é vinculada a uma segunda página e a segunda página pode reescrever a página original e substituí-la por um site de phishing. Como o usuário iniciou na página legítima, é improvável que ele perceba que é uma substituição. O design da página se parece com o original. Quando o usuário entra na página “original”, suas credenciais são transmitidas para outro lugar.

Para se manter o mais seguro possível contra tabnapping, nunca faça login em uma guia que você não abriu. E mesmo que você ache que abriu a guia, se você retornar a uma página de login depois que ela estiver inativa por um tempo, feche-a por segurança e volte ao site para abrir uma nova. Sempre verifique o URL também. Quando se trata de outras ameaças de seqüestro de navegador, pratique uma boa higiene do navegador – limite e preste atenção ao software que você usa, limpe o cache do navegador regularmente e invista em software antivírus de qualidade.

Você também pode ler nosso artigo sobre sequestro de cookies e como evitá-lo.

Você já teve seu navegador tabnapped? Conte-nos sobre isso nos comentários!

Imagem em destaque por Legend_art / Shutterstock.com