Aza Raskin, experto en diseño de interfaces del proveedor de Firefox, detectó un nuevo tipo de ataque de phishing conocido como tab napping, que aprovecha las múltiples pestañas que el usuario abre en su browser a la hora de navegar por la web.
Según Raskin, el phishing tradicional engaña a los usuarios haciéndoles clickear en una URL para que revelen sus datos personales en lo que piensan es una página web legítima. Sin embargo, actualmente la mayoría de la gente conoce esta trampa y ya no ingresa en los enlaces de los correos que supuestamente proceden de un sitio incluso legítimo.
El proceso del tap napping aprovecha el hecho de que los usuarios de Internet están convencidos de que las páginas que se abren en pestañas permanecen invariables cuando se accede a otros servicios de Internet.
Sin embargo, un código JavaScript instalado en una página inocua puede hacer que cambie cuando el usuario no mira, porque está en otra pestaña, y mute a una página falsa donde pide al internauta que se registre.
El usuario apenas percibirá el cambio y asumirá que dejó abierta, por ejemplo, la página de inicio de Gmail y se volverá a loguear.
Además, el portal Scam Detectives advierte, que siempre que alguien se registra en una página web, sin importar que haya más pestañas abiertas en el navegador, los usuarios deberían comprobar la URL y que están utilizando una dirección HTTPS:// segura.
“Si la URL no es correcta o no hay ningún candado, cierre la pestaña, abra una nueva y escriba de nuevo la URL”, señala Charles Conway, editor de Scam Detectives. “E incluso mejor, cree una política para no dejar que las webs que requieran login seguro, se abran en otras pestañas”.
El proceso del tap napping aprovecha el hecho de que los usuarios de Internet están convencidos de que las páginas que se abren en pestañas permanecen invariables cuando se accede a otros servicios de Internet.
Sin embargo, un código JavaScript instalado en una página inocua puede hacer que cambie cuando el usuario no mira, porque está en otra pestaña, y mute a una página falsa donde pide al internauta que se registre.
El usuario apenas percibirá el cambio y asumirá que dejó abierta, por ejemplo, la página de inicio de Gmail y se volverá a loguear.
Además, el portal Scam Detectives advierte, que siempre que alguien se registra en una página web, sin importar que haya más pestañas abiertas en el navegador, los usuarios deberían comprobar la URL y que están utilizando una dirección HTTPS:// segura.
“Si la URL no es correcta o no hay ningún candado, cierre la pestaña, abra una nueva y escriba de nuevo la URL”, señala Charles Conway, editor de Scam Detectives. “E incluso mejor, cree una política para no dejar que las webs que requieran login seguro, se abran en otras pestañas”.
No hay comentarios:
Publicar un comentario