TAB-Nabbing :: Something smarter than us is going to emerge


node:	TAB-Nabbing
template:	4
parent:	pocitace - troubleshooting ci co
owner:	Cayo[Locked_OUT]
viewed by:
created:	10.09.2014 - 10:17:43

cwbe coordinatez:
101
63540
63709
7697513

ABSOLUT
KYBERIA

permissions
you:	r,
system:	public
net:	yes

Poculi ste uz o tab-nabbingu?

Otvorite si stranku (proof of concept je napriklad tu: http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/ ) a citate si zaujimavy clanok. Ked prekliknete na iny tab, stranka zmeni favicon, title a design a bude sa tvarit ako gmail logon page.
Userko ktory si nevsimne ze URL je zla, si bude mysliet ze ho akosi odlogovalo, tak sa prihlasi a jeho kredence su v cudzich rukach... a aby si nevsimol nic, tak ho to presmeruje na gmail a ak uz bol prihlaseny, tak bude spokojny a vobec nic si nevsimne..

P.S.: ak tu mame IT security forum, prosim dajte vediet :)

0000010100063540000637090769751307698181

uh...bre ranko :]

0000010100063540000637090769751307697823

Pozerám že 4 roky stará vec. A keďže som o tom nevedel kludne som už mohol niekomu svoje heslo odovzdať. Je dobré si ho pravidelne meniť.

000001010006354000063709076975130769782307697947

2 factor auth je riesenie, easy na setup.

"Můžeme s tím nesouhlasit, můžeme o tom diskutovat, ale to je tak vše, co proti tomu můžeme dělat"

00000101000635400006370907697513076978230769794707717348

to by ale google najprv musel poskytovat ten svoj authenticator aj na windows phone... 3rd party appkam na taketo nieco neverim...

I can\'t explain myself
because I\'m not myself you see
I got lost in someone else...

00000101000635400006370907697513076978230769794707698887

Google 2-step verification ma nove featurky pozeram :)

doteraz som mal SMS s tym ze som si pridaval trusted computers, odteraz mam appku na to; normalne ze token v mobile - to som od googla necakal :)

0000010100063540000637090769751307697823076979470769888707705726

even better je to, ze ten ich google authenticator pre android vie pracovat aj s dropbox, microsoft, facebook, evernote, a mozno aj dalsimi (vymenoval som tie ktore mam pridane ja)

fail je ze sa mi nedari rozbehat 2step na paypal :)

00000101000635400006370907697513076978230769794707697956

to ano, ale kolko uzivatelov toto defaultne vypina "lebo je to otravne a aj tak tam nic nemam"? ;)

0000010100063540000637090769751307697823076979470769795607698158

njn, aj ked v reali nie je to otravne, je to celkom simple a v gmaily ma clovek zvacsa viac nez dost..

000001010006354000063709076975130769782307697947076979560769815807698190

v gmaili ma vela ludi az privela, len si to neuvedomuju :(

000001010006354000063709076975130769782307697831

jo, je to starsie - len sa to teraz prevalilo kvoli nejakemu celebrity leaku alebo niecomu takemu..

00000101000635400006370907697513076978230769783107697832

inak toto nevie poriešiť prehliadač, alebo antivírus?

0000010100063540000637090769751307697823076978310769783207698159

avg hned vyhodilo upozornenie, aspon na vyssie uvedenom linku.
ale mam zapnuty ten web stit..

0000010100063540000637090769751307697823076978310769783207697954

prehliadac ani AV ti toto neporiesia. tato aktivita sa vlastne nijako neskryva, neotvara porty ani nema backdoors; dokonca sa ani nesnazi skryvat/maskovat URL.. proste sa reloadne stranka a natiahne ti novy obsah - toto iste robia napriklad RSS readre, ktore ti v pravidelnych intervaloch stahuju nove clanky a ak by chceli tak vedia zmenit aj favikonku na taku ktora ti signalizuje ze mas neprecitany clanok. a komunikaciu domov (uploafd dat ktore zadas do formy) tiez robi kazda druha stranka uplne bezne..

tomuto sa ubrani iba uzivatel, ktory vie ze nieco taketo mu hrozi a skontroluje URL, pripadne pri prihlasovani vzdy otvori novy tab zo svojich bookmarkov (ktore mimochodom tiez su napadnutelne ;) )...

EDIT:
niektore AV uz poznaju niektore skripty schopne toto urobit a dokazu ich zakazat, takze to co som pisal vyssie nie je uz tak celkom pravda. zatial som to testoval iba v robote a napriklad McAffee enterprise to nechyti..

EDIT 2:
AVG Free to chytil a hned skript zakazal :)

0000010100063540000637090769751307697823076978310769783207697859

Podla mna nie ... henten typ utoku je v roznych modifikaciach dost stary ...

mozes najst mnoho modifikacii v spojeni s facebook api, google api a podobne ... kde ta dokoca fakovo napr navedu na to aby si ich aplikacii povolil trebars pristup do tvojich kontaktov ... je toho spusta na sr existovali modifikacie pre azet, centrum a podobne za dni ich slavy :) ...

Kazdopadne asi najrafinovanejsi typ utoku nakolko nemas sancu riesit nejaku ochranu antivirusom lebo ked das do ban listu jednu url ... spravia to na inej.

Je to dost peklo ale za sukromie dnes musis mega bojovat a byt mrte paranoidny. Nakolko mnoho stranok a applikacii ti ponuka moznost login by facebook, login by google. Treba si pozriet ake prava im udelujes lebo vykradnutie kontaktov je mnohokrat cennejsie ako nejake heslo do e-mailu.

0000010100063540000637090769751307697712

pekne :)

0000010100063540000637090769751307697535

putol som aj do /4884767