La técnica consiste en detectar un cambio de pestañas para mostrar automáticamente un contenido diferente, mientras el usuario navega por otras páginas. La forma más sencilla de comprenderlo es verlo en acción, prueba lo siguiente:
1- Accede a este sitio.
2- Cambia de pestaña o abre una nueva.
3- Espera 5 segundos y vuelve a la pestaña del foro…
Notarás un cambió automático que muestra lo que parece ser el inicio de Gmail. En realidad se trata de una imagen jpg, el sitio detectó que cambiaste de pestaña y modificó su contenido para «engañarte».
Si se tratara de un ataque real y creyeras que estás en la página de Facebook, serías una víctima del phishing, pues estarías introduciendo tu usuario y contraseña en una página falsa.
Con muchas pestañas abiertas caer en la trampa no sería difícil, pues es posible cambiar hasta el favicon y el título de la pestaña, una mala jugada de nuestra memoria o una pequeña distracción al no mirar la URL del navegador nos podría salir caro.
Este método fue descubierto por Aza Raskin y en su blog puedes encontrar todos los detalles, de hecho en el foro estoy utilizando como ejemplo su prueba de concepto, un pequeño código de JavaScript que carga una imagen al cambiar el «focus» de la pestaña. En su blog hace lo mismo, pero cargando una imagen de Gmail :)
El ataque podría ser mucho más agresivo si se espían los historiales de navegación y se muestran páginas falsas según los sitios visitados, incluso se podría detectar a qué servicios está conectado el usuario para mostrar páginas específicas.
Pero los problemas no terminan aquí, como lo demuestra otro investigador llamado Aviv Raff, el ataque se puede efectuar sin uso de JavaScript.
Hay que estar más atentos que nunca! y mirar siempre las URLs.
En el blog de Brian Krebs también podrás encontrar información sobre Tabnabbing.
Ver también:
Phishing a nivel local en equipos infectados.