Nova técnica rouba dados através da distração com abas do browser

O PandaLabs, laboratório Anti-Malware da Panda Security, descreveu uma nova técnica de phishing em seu Relatório Trimestral Sobre Ameaças de TI, referente aos meses de abril, maio e junho deste ano.

De acordo com os especialistas da empresa, o novo método, denominado Tabnabbing, explora o sistema de abas dos navegadores para modificar pÁginas sem que o usuÁrio perceba e, com isso, consegue obter seus os dados e senhas.



O Tabnabbing foi documentado pela primeira vez em maio. Por enquanto, ainda não se sabe se a técnica jÁ foi utilizada ou se ainda é apenas uma prova de conceito, mas, para a companhia, "proporciona  uma reflexão sobre o nosso comportamento".

De acordo com Ricardo Bachert, diretor de consumo da Panda Security no Brasil, a maioria das pessoas abre vÁrias abas de uma só vez e perde a noção do que estÁ usando. "Através dessa nova técnica, os criminosos modificam em alguns segundos a pÁgina não utilizada, mantendo a aparência original para que usuÁrio não perceba a alteração e tente fazer o login, enviando seus dados para eles", explica.

Como funciona
Para realizar um ataque, primeiro a vítima é levada a acessar uma pÁgina maliciosa, através de spam, engenharia social ou posts em fóruns, por exemplo. Em seguida, é usado um comando de JavaScript para detectar quando o usuÁrio não estÁ visualizando a pÁgina, enquanto navega em outra guia do browser.

Em alguns segundos, para assegurar que o usuÁrio se esqueceu daquela aba aberta, seu conteúdo é modificado, também através de JavaScript, para exibir uma pÁgina falsa de algum serviço popular, como o Gmail, por exemplo.

Quando a vítima insere seu endereço de e-mail e senha para efetuar o login, a pÁgina falsa armazena os dados e redireciona o usuÁrio para a pÁgina original.

"Não queremos alarmar os usuÁrios, mas é importante que eles sejam cautelosos em todos os momentos para não serem vítimas do próprio deslize e que mantenham sua solução de segurança sempre ativa e atualizada", ressalta Eduardo D'Antona, diretor corporativo e TI da Panda Security no Brasil.

"Isso, junto com a implementação de políticas de segurança adequadas, permitirÁ que o usuÁrio utilize seu computador sem se tornar vítima de truques de engenharia social", conclui. Além disso, o PandaLabs aconselha os usuÁrios a fecharem todas as guias que não estão sendo utilizadas para evitar o roubo dos dados através desta nova técnica.

Assuntos
  • Redator: Risa Lemos Stoider

    Risa Lemos Stoider

    Formada em Jornalismo pela Universidade Federal de Santa Catarina (UFSC) e gamemaníaca desde os 4 anos de idade. Já experimentou consoles de várias gerações e atualmente mantém uma ainda modesta coleção. Aliando a prática jornalística com a paixão pela tecnologia e os games, colabora com a Adrenaline publicando notícias e artigos.

Com esses adiamentos dos games...

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.