• Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Guida TabNapping remoto, phishing

#MarshMallouJ-

Utente Esperto
Autore del topic
8 Settembre 2011
1.444
58
Miglior risposta
0
Eccomi Di Nuovo In una Mia Esclusiva Guida:
Ritorniamo sulla parte forse più brutta dell'hacking (se così si può chiamare): il phishing.
Questa che vi andrò a proporre è un tecnica di phishing attack chiamata tabnapping, che consiste nello sfruttamento del multitasking del nostro browser, cioè l'uso di più tab insieme.
Chi di noi, che amiamo stare al computer oppure ci dobbiamo stare per lavoro, non ha almeno 3-4 tab aperti insieme? Una cosa a dir poco fantastica che ci permette di svolgere più cose contemporaneamente. Purtroppo però tutto ciò che è fantastico prima o poi viene rovinato, e questo a causa dei nostri browser. Questa tecnica è allo stesso tempo semplice e geniale, e si interseca in un misto di social engineering e web script coding.
L'exploit allo stato brado (per fortuna) è disponibile tramite il proof-of-concept, su questo sito: Azarask.
Là potrete trovare sia l'exploit in una forma innocua, sia una dimostrazione di esso; infatti se provate ad aprire il sito che vi ho linkato e tornare qua sul mio blog, dopo 5 secondi avrete una bella sorpresina.

Questo exploit è stato pensato per ingannare la vittima, che aprendo il link e girando per i tab, si troverà un bel fake login, ma sta volta con un tab del tutto simile a quello della pagina originale e non è tutto, infatti, un uso ancora migliore di questa tecnica è dato dal fatto che, più generalmente, la pagina cambia, semplicemente quando perde il focus (cioè se andate sul desktop e tornate, la pagina sarà cambiata).
Questa particolarità è a parer mio, molto più interessante della prima, soprattutto a livello psicologico, in quanto, se stiamo navigando nel browser, chi più, chi meno, abbiamo un controllo abbastanza buono dei tab aperti, ma se noi stiamo usando un software esterno al browser, il nostro controllo sui tab diminuisce di gran lunga.

Nel video che potete vedere alla fine di questo articolo, viene illustrato ciò a cui si può facilmente arrivare tramite il codice che viene dato nel proof-of-concept. Ovviamente la pagina è stata cancellata, per evitare che i lamer sguazzassero nella loro ignoranza.

Uno degli usi più efficaci è la possibilità di unirla facilmente ad ad un ulteriore vulnerabilità che avete già affrontato, nella guida di murdercode: il cross-site-scripting, o meglio XSS. E' facile, quindi, intuire il come injectarla in una pagina buggata da un xss permanente.

Termino questo articolo ricordandovi l'unico metodo che può tenervi lontano da questo tipo di phishing: GUARDATE L'URL PRIMA DI METTERE I VOSTRI DATI DI ACCESSO.
[YT]http://www.youtube.com/watch?v=sPWUyNVgA_k&feature=player_embedded[/YT]
(Se Non Riuscite a Vedere il Video Ecco il Link:
Perfavore, Entra oppure Registrati per vedere i Link!
)

Un Più 1 Non Fa male xD (P.s:Video Non Mio)

Ne io Ne Sciax2 Ci prendiamo Le conseguenza di ciò Che Farete Con questa Guida.

FONTE:
Perfavore, Entra oppure Registrati per vedere i Link!

-------------------------------------------------------------------------------------------------------------------------------------------------------
Altre Guide:
http://www.sciax2.it/forum/phrehacking/d-ricaricare-gratis-cellulare-527072.html#post3354228
http://www.sciax2.it/forum/hacking/guida-sommaria-allanonimato-totale-deep-web-bitcoin-527038.html
http://www.sciax2.it/forum/guide-tutorial/sql-injection-dorks-527091.html#post3354679
 
Ultima modifica da un moderatore:
Riferimento: TabNapping remoto, phishing

Come no... Te lo dico l'ultima volta, inserisci la fonte!
 
Riferimento: TabNapping remoto, phishing

@walter4991 Prima di "attaccarlo" prova che non è sua la fonte -.- ma che gente... non dico che secondo me è sua, dico che devi avere delle prove. Hai molta stima degli utenti vedo.
Comunque bella guida, avevo letto di questa tecnica in un giornale e devo dire che è geniale, davvero. Un po' difficile che funzioni anche perché molti utenti non utilizzano il multitasking (non necessario per questa tecnica, basta che la finestra non sia visibile sul desktop).
Ps: Si chima TabNabbing penso xD Ma non sono sicuro, forse mi confondo.
@tgb
 
Riferimento: TabNapping remoto, phishing

@walter4991 Prima di "attaccarlo" prova che non è sua la fonte -.- ma che gente... non dico che secondo me è sua, dico che devi avere delle prove. Hai molta stima degli utenti vedo.
Comunque bella guida, avevo letto di questa tecnica in un giornale e devo dire che è geniale, davvero. Un po' difficile che funzioni anche perché molti utenti non utilizzano il multitasking (non necessario per questa tecnica, basta che la finestra non sia visibile sul desktop).
Ps: Si chima TabNabbing penso xD Ma non sono sicuro, forse mi confondo.
@tgb

Grazie Per il sostegno;
Comunque per precisare si chiama TabNapping Remote
 
Riferimento: TabNapping remoto, phishing

@walter4991 Prima di "attaccarlo" prova che non è sua la fonte -.- ma che gente... non dico che secondo me è sua, dico che devi avere delle prove. Hai molta stima degli utenti vedo.
Comunque bella guida, avevo letto di questa tecnica in un giornale e devo dire che è geniale, davvero. Un po' difficile che funzioni anche perché molti utenti non utilizzano il multitasking (non necessario per questa tecnica, basta che la finestra non sia visibile sul desktop).
Ps: Si chima TabNabbing penso xD Ma non sono sicuro, forse mi confondo.
@tgb
Che gente lo dico io! Voi credete che io non mi sia accertato prima di dirgli di inserire la fonte?! Pensi davvero che chieda di inserire la fonte a prescindere? Io di ogni articolo, guida, news e quel che sia controllo sempre con Google!
Vuoi un link? Te ne do a decine:
Perfavore, Entra oppure Registrati per vedere i Link!


PS Inserisco la fonte ed infraziono per violazione dei diritti d'autore.
 
Riferimento: TabNapping remoto, phishing

Che gente lo dico io! Voi credete che io non mi sia accertato prima di dirgli di inserire la fonte?! Pensi davvero che chieda di inserire la fonte a prescindere? Io di ogni articolo, guida, news e quel che sia controllo sempre con Google!
Vuoi un link? Te ne do a decine:
Perfavore, Entra oppure Registrati per vedere i Link!


PS Inserisco la fonte ed infraziono per violazione dei diritti d'autore.

E allora metticela tu la fonte no? O almeno mettici un link quando dici ste cose (come hai fatto ora).
 
Riferimento: TabNapping remoto, phishing

E allora metticela tu la fonte no? O almeno mettici un link quando dici ste cose (come hai fatto ora).
1) Se inserisco la fonte io poi devo prendere provvedimenti, quindi è meglio per lui che provveda da solo!
2) Io non sono costretto a dimostrarti i fatti così come stanno! Se vuoi verifichi da solo e vedi che non sto dicendo stupidate, poi commenti!
3) Devi smetterla di impicciarti di affari che non ti riguardano, ed ora mi hai stancato! Inoltre la fonte l'ho aggiunta ieri sera alle 00.19 tu arrivi oggi alle 12.38 dicendomi di inserire la fonte! Ma ti rendi conto? Posti inutilmente senza nemmeno verificare! Infraziono per post inutile!