Har du noen gang sett en falsk innloggingsside som en del av en phishing-svindel? De venter vanligvis på den andre enden av en lenke som fører folk til en veldig troverdig påloggingsside for en populær tjeneste. For eksempel kan du se noen snakke om en video på Facebook med en lenke. Du klikker på den for å se videoen, men i stedet for å lede til Facebook, fører det til en falsk Facebook look-a-like som ber om innloggingsdetaljer for å se videoen. Tanken er at folk tror at de har blitt logget ut av Facebook og gå til å logge inn igjen, bare for å levere innloggingsinformasjonen til svindleren.

Selvfølgelig gjør folk seg til denne typen svindel, så det blir vanskeligere for svindlere å få innloggingsinformasjon fra falske lenker. Det er imidlertid en fiendish ny metode for phishing på internett: tabnapping.

Caught Napping

I dag går svindlere bort fra direkte angrep i håp om å lure brukeren. Nå fokuserer de på å angripe deg når du er "på autopilot" når du ikke betaler 100% oppmerksomhet. Det har vært mange ubehagelige angrep i fortiden, men tabnapping er en av de mer rarale.

Slik fungerer tabnapping. Noen setter opp et nettsted som ser helt normalt ut. Innenfor nettstedskoden plasserer de en brikke for å se om fanen er blitt «inaktiv». Inaktive faner er faner som du for øyeblikket ikke ser på. Hvis du har noen faner i nettleseren din akkurat nå, er de inaktive fanene alle kategoriene du ikke leser denne artikkelen i.

En bruker besøker denne uskyldige nettsiden og antar at ingenting er galt med det. De vil da bytte til en annen fane; kanskje noen messed dem på Facebook, for eksempel. Dette betyr at den "uskyldige" nettsiden er blitt inaktiv, som aktiverer svindelkode.

Her er hva koden gjør; Først av alt sørger det for at det har vært inaktivt i nok tid, for å være sikker på at du har glemt det. Når ventetiden er utløpt, endrer den først nettstedets innhold til en falsk påloggingsside, for eksempel Gmail. Det endrer deretter "favicon" på nettstedet, som er det lille bildeikonet du ser på faner. MakeTechEasiers favicon er den blå "MTE" -logoen. Det endrer også sidenavnet fra det opprinnelige navnet til noe som "Gmail: E-post fra Google."

Hva dette gjør er å lage en side som er nesten identisk med påloggingssiden til Gmail. Hvis du tok en lang, hard titt på fanen, kan du se at noe er galt med det samme. Selvfølgelig, fordi du er pakket inn i ditt daglige liv, merker du det ikke. Da husker du at du må sende den e-posten til vennen din, så du går over til "Gmail" -fanen som er inaktiv. Å, men Gmail har logget deg ut og krever innloggingsinformasjon igjen. Hva et problem! La oss skrive inn påloggingsinformasjonen igjen. Dette fullfører tabnapping-angrepet.

Hvis du vil se en live demonstrasjon av tabnapping i din egen nettleser, åpner du denne siden om tabnapping i en ny kategori. Tillat at nettsiden lastes fullt ut. Gå tilbake til denne artikkelen og se kategorien Tabnapping i fem sekunder. Etter fem sekunder blir den «magisk» en falsk Gmail-kategori.

Selv om det bare er en demo, og det er ingen falsk innloggings Gmail-side for å lure deg, kan du forestille deg hvor overbevisende det ville være hvis det var en detalj-perfekt Gmail-innloggingsside på den kategorien. Dette viser lengdene svindlere kan gå for å få detaljer.

Holder faner på phishing

Alt dette høres veldig skummelt ut, og med rette. Tanken om at noen av kategoriene dine kan forvandles til et overbevisende phishing-angrep, er svært bekymrende! Heldigvis, mens svindlere kan endre innholds- og fanedata for å se ut som en offisiell tjeneste, er det en ting de aldri har klart å kopiere perfekt - nettadressen til siden.

Selvfølgelig har svindlere gjort sitt beste med nettadresser som ser nesten ut som den virkelige tingen. Imidlertid er ord for ordkopiering av en nettadresse umulig å gjøre, og er din viktigste måte å finne ut en god påloggingsside fra en dårlig. Hvis du presenteres med en påloggingsside av en eller annen grunn, kan du sjekke nettadressen. Hvis det ser fishy ut, for eksempel en ukomplett URL eller det mangler et "https" sertifikat, må du ikke bruke det! Lukk den, åpne en ny kategori, og naviger til den virkelige avtalen manuelt derfra. Her er et eksempel på en autentisk Facebook-kategori, og dens definerende funksjoner:

Skummelt, men ikke uoppdagelig

Tabnapping er en av de mer falske metodene for scamming brukere, preying på ubrukte faner og vår vane å ikke sjekke sider vi allerede har brukt til svindel. Ved å ta vare når du logger inn, kan du unngå tabnapping og holde informasjonen trygg.

Har du vært eller nesten vært et offer for tabnapping? Hva synes du om dette høyt-forbrytelige trikset? Tror du det ville lykkes med å lure deg hvis du opplever det? Gi oss beskjed i kommentarene.