Újfajta támadási módszert talált ki a Firefox egyik vezető fejlesztője. A támadó először beeteti a felhasználót, és csak később tereli hamis weboldalra.

A veszély nem kifejezetten a Firefox-ot, hanem a többi böngészőt használót is veszélyezteti. Érdemes jobban megfigyelni "jelszavas" weboldalaink kinézetét ...! Aza Raskin csak rámutatott egy létező problémára a módszerével.

"Biztonsági intézkedés egyelőre" a CSS history miner adatlopás ellen a Better Privacy add-on (telepítése innen), mellyel a böngésző bezárása előtt minden flash cookiet (sütit) törlünk, amelyek még véletlenül sem azonosak a "Mindent előzményt töröl"   beállításban található sütikkel (így elvesznek a beállításaink, mindent újra be kell gépelni: név és jelszó). És csak a törlés és a böngésző újraindítása után kezdünk böngészni (ha "közben" kiléptetett a weboldal, nem lépünk vissza egyet). Ez nem véd meg a töblapos böngészés hackeléstől! A teljesen biztos megoldás a még nem kifejlesztett Account Manager lesz, melyet itt ismertetnek (angolul), egészen addig a jó megfigyelőkészség a leghasznosabb.

"Jelszavas" weblapot csak akkor nyissunk meg, ha egy lapunk (tab)  van nyitva.

Magyarul talán "lapító lapos" technikának nevezhetnénk az eljárást, melyet felfedezője, Aza Raskin -- a Mozilla Firefox vezető tervezője -- angolul "tabnapping"-nek keresztelt. A szakember saját blogján demonstrálta a támadást, amely akkor érheti a felhasználót, ha egyszerre több böngészőlapot (tab-et) tart nyitva. Ha az áldozat ekkor az éppen aktív lapon rosszindulatú vagy feltört site-ot nyit meg, akkor az új támadási technika segítségével a hacker észrevétlenül megváltoztathatja valamelyik másik, nem aktív lap (tab) tartalmát és fejét. Így, amikor a felhasználó kiválasztja (aktiválja) az időközben meghamisított lapot, akkor ott akár egy csali beléptető oldallal -- például egy Gmail beléptető-utánzattal -- találkozhat.

A hírre reagálva Jerry Bryant, a Microsoft biztonsági kommunikációs vezetője hangsúlyozta: csak akkor adjuk meg egy site-on a belépési azonosítóinkat, ha a böngésző [az Internet Explorer] címsorában megjelenik a lakat szimbólum, s ha meggyőződtünk a cím helyességéről. Az Internet Explorer legfrissebb, 8-as változatának SmartScreen szűrője is segíthet egy esetleges támadás kivédésében, miután kiszűri azokat a webhelyeket, amelyek bizonyítottan vagy feltételezhetően adathalászattal foglalkoznak -- tette hozzá.

Raskin jelezte: a Mozilla Firefox következő kiadásához készülő fiókkezelő (Account Manager) megvéd majd az ilyen támadásoktól.

Az adatlopáshoz vezető támadások sikere főleg azon múlik, hogy az internetező az első pillanatban milyen benyomást szerez a weboldalról. Ha rögtön észreveszi, hogy az url nem passzol a weboldal tartalmához, vagy talál valami szokatlant, akkor megmenekül a bűnözők karmából. Akkor van gond, ha elsőre minden rendben van, és később, a háttérben alakul át a weboldal.

Aza Raskin, a Mozilla Firefox böngésző egyik vezető fejlesztője nagyon trükkös támadási módszert talált ki, amely kivédésére időben fel kell készülni.

Változó tartalom

A támadó először elvezeti az áldozatát egy normális weboldalra, hogy ne keltsen gyanút. A felhasználói szokásokból arra lehet következtetni, hogy az áldozat valószínűleg nyitva felejti a weboldalt egy háttérben lévő böngészőlapon. Ha a júzer hosszú ideig nem nézi meg újra a weboldalt, akkor egy javascript kód lecseréli a weboldal favikonját (ez jelenik meg a böngészőlap fülén a weboldal neve mellett), majd a weboldal tartalmát is újratölti. Például megjelenít egy Gmail-szerű bejelentkező felületet.

Amikor az áldozat ismét a böngészőlapra téved, akkor azt hiszi, hogy a levelezését érheti el. Megadja a felhasználónevét és a jelszavát, amit a támadó azonnal elment a saját szerverén. Az áldozatot ezután rögtön a Gmail valódi weboldalára irányítja, ahol valószínűleg már korábban is be volt jelentkezve, tehát betöltődik a levelezése. A támadó pedig megszerezte a jelszót, amivel még több adatot szerezhet az áldozatról.

A bűnöző a CSS history miner nevű eszközzel azt is megnézheti, hogy az áldozat milyen weboldalakat szokott betölteni (Citibank, Facebook, Twitter stb.), tehát nem csak olyan hamis portállal kell próbálkoznia, amit a célszemély valóban használ.

Raskin szerint a felhasználónév és jelszó önmagában nem elég biztonságos hitelesítési megoldás, és szerinte ezért lesz fontos a Firefox Account Manager, amely nyilvántartja, hogy a felhasználó kicsoda.

Aza Raskin

A chicagói Humanized Inc. szoftvervállalat elnöke, az Apple Macintosh alapítójának, Jef Raskinnak a fia, aki jelenleg a Mozilla Labsnél a felhasználói interfészek fejlesztésért felel – néhány napja blogjában megjelentetett egy bemutatót, amely arról informálja az érdeklődőket, hogy milyen koncepció alapján dolgoznak a mobilos Firefox megteremtésénél.

(forrás: index.hu, virusbuster.hu)