Firefox Creative 담장자 Aza Raskin이 발견한 브라우저 취약점이라고 합니다.
http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/
탭을 이용하시는분들이 많으실텐데요..
Tabnapping 악성스크립트가 삽입된 사이트를 탭으로 열어 볼 경우 해당 브라우저의 다른 탭에 있는 내용을
컨트롤 할 수 있다고 합니다.
A New Type of Phishing Attack from Aza Raskin on Vimeo.
PoC 코드에 해당하는 자바스크립트는 (http://www.azarask.in/projects/bgattack.js)
gmail에 로그인한 탭이 있고 자바스크립트가 삽입되어 있는 탭에서 브라우징을 한 후에
다시 gmail 탭으로 넘어와서 메일을 읽거나 메일을 쓰거나하면 자바스크립트가 있던 탭의 내용이
gmail 메인 페이지로 변경되는데 단순 이미지입니다.
물론 악의적인 의도를 가지고 이미지 대신 피싱사이트로 만들면 속아 넘어가겠죠..
문제는 URL은 바뀌지 않는다는 점입니다.
하지만 favicon까지 동일하게 만들 경우 URL은 잘 보지 않고 탭의 favicon과 제목만 본다는
심리적인 부분을 이용할 수도 있다고 합니다.
PoC 코드에서도 favicon까지 원본 사이트와 동일하게 했다고 하는데 제가 실행했을때는 favicon은 바뀌지 않더군요...-_-;;
어쨋든 신종기법인건 확실한 것 같은데 Raskin의 위 포스팅 글 마지막이 좀...
The Fix
This kind of attack once again shows how important our work is on the Firefox Account Manager to keep our users safe. User names and passwords are not a secure method of doing authentication; it’s time for the browser to take a more active role in being your smart user agent; one that knows who you are and keeps your identity, information, and credentials safe.
우와~ 신기한데~ 하다가 막판에 The Fix를 보고.. 이건 머냐...하는 생각이 들더군요..
개인적인 생각으로 이런 기법을 대응할 수 있는 방법은
1. 탭브라우징이 안되는 IE6을 쓴다. -_-;;;;
2. 인터넷옵션 탭 설정에서 새탭에서 열지 말고 무조건 새창으로 열게 한다.
별로 도움이 안되는 대응방법이군요...ㅜ.ㅜ
앞으로 이 기법이 얼마나 사용될지 궁금하군요...후후~
저희는 해외에서 피싱메일 접수를 많이 하니 앞으로 좀 지켜봐야 할 것 같습니다.
p.s http://vimeo.com/12003099 에도 동일한 동영상이 있는데요
작성자의 사진을 보는 순간 히어로즈의 사일러다!! 라고 생각했었다는....;;;;
