donderdag 10 juni 2010

Enge nieuwe vorm van phishing: 'tab napping' of 'tab nabbing'

Op diverse sites verschijnen de afgelopen paar dagen waarschuwingen voor een heel nieuwe, akelige vorm van phishing: 'tab napping'. Vanaf nu kunnen we zelfs pagina's die we zelf geopend hebben niet meer vertrouwen.

De nieuwe methode van phishing werkt volgens de beschrijvingen als volgt: je hebt een aantal tabbladen met internetpagina's geopend in je browser en ziet ze natuurlijk niet allemaal tegelijk. De oplichters kunnen zien dat je inactieve tabbladen hebt en kunnen schijnbaar zelfs in je favorieten zien welke sites je vaak bezoekt. Op basis van deze informatie kunnen ze nu wanneer je even in een ander tabblad bezig bent, een inactief tabblad vervangen door een pagina die precies hetzelfde lijkt, maar die in feite door jou ingevoerde gegevens naar de 'tab nappers' stuurt.

Yahoo noemt het voorbeeld van een surfer die op een pagina alvast het inlogscherm van zijn bank heeft geopend en vervolgens in een ander tabblad even iets opzoekt. Als hij teruggaat naar het tabblad van de pagina van de bank, kan deze zijn vervangen door een neppagina. Wanneer hij dan zijn inloggegevens invult, kunnen deze door tab nappers worden onderschept. Zelfs wanneer hij al ingelogd was, zou de surfer waarschijnlijk niet verbaasd zijn als hij wordt verzocht om in te loggen. Als je namelijk al lang niet op een site bent geweest, dan moet je ook op de legitieme site soms opnieuw inloggen, dus zou het precies op deze beveiligingsmaatregel kunnen lijken. Ondertussen heeft de surfer zijn gegevens echter aan de vijand overgedragen en kunnen de tab nappers bij zijn geld.

Op de blog Cyber-esq. wordt ter illustratie een inbraak beschreven via de inlogpagina van Gmail, van waaruit de 'tab nabbers' toegang krijgen tot allerlei persoonlijke gegevens van de gebruiker, zoals inloggegevens voor andere sites. Zo worden oplichtingsvormen als identiteitsfraude en dergelijk nog makkelijker.

Kortom: vanaf nu moeten je echt overal op je qui-vive zijn. Open altijd zelf een nieuwe pagina voordat je waar dan ook gegevens invult. Vul niet opnieuw je gegevens in op een nog openstaand tabblad, ook al heb je dat zelf geopend en ziet het er helemaal legitiem uit. En nu maar hopen dat dit voldoende is. Het verhaal uit de film The Net met Sandra Bullock komt steeds dichterbij.

Bronnen:
Cyber esq.: A new type of phishing attack tab nabbing
Yahoo Finances: Tab napping new online scam