Що таке табнаббінг та як захистити свій браузер

25.09.2024 1 хвилин Автор: Cyber Witcher

Табнаббінг — це фішингова техніка, яка змінює вкладки браузера для крадіжки особистих даних. Дізнайтеся більше про принципи роботи табнаббінгу, як зловмисники використовують цей метод та які заходи безпеки допоможуть уникнути небезпеки і зберегти ваші особисті дані.

Табнаббінг: новий вид інтернет-шахрайства

Іноді при створенні веб-сайту вам може знадобитися відкрити посилання в новій вкладці. Проте ви можете не здогадуватись, що це може зробити користувачів вразливими до зловмисних атак, таких як «табнаббінг».

Хоча повного захисту не існує, можна зменшити ризики за допомогою атрибутів noopener та noreferrer. Про це і піде мова в цьому короткому посібнику.

Що таке табнабінг?

Tabnabbing – це тип фішингової атаки, спрямованої на неактивні вкладки у вашому браузері. Поки ви зосереджені на поточній вкладці, посилання на попередню може бути зламано, і вас буде перенаправлено з потрібного сайту на шкідливий сайт, схожий на справжній.

Оскільки шкідливий сайт виглядає дуже схожим на оригінал, користувач зазвичай не підозрює, що сторінка, на якій він перебуває, не є легальною, коли повертається на цю вкладку. Через це користувач вводить свою особисту інформацію, не знаючи, що хтось з іншого боку чекає її викрадення.

Нижче наведено кілька способів зламати відомий веб-сайт

шкідливі оголошення
Віджети сторонніх розробників, включені на веб-сайті, які пізніше були зламані
зловмисний вміст, створений користувачами (наприклад, повідомлення на форумі), який містить несанкціонований JavaScript

Швидкий приклад табуляції

Уявіть, що ваш улюблений веб-сайт автоматично виходить із системи, якщо ви занадто довго неактивні. У цей момент зловмисник може замінити справжню сторінку на підроблену, яка виглядає майже ідентично.

Коли ви повернетеся до цієї вкладки, ви не помітите різниці й повторно введете свої дані, надаючи шахраю доступ до особистої інформації.

Подібно до фішингових атак, мета тут — обманом змусити користувача ввести конфіденційні дані, такі як логін чи фінансова інформація, на фальшивому сайті.

Це саме та ситуація, яку ви хочете уникнути для свого сайту, щоб забезпечити безпеку відвідувачів. Тож зараз ви дізнаєтесь, як зробити свій веб-сайт безпечнішим, починаючи з того, як правильно відкривати нові вкладки.

Як відкрити посилання в новій вкладці в HTML

Щоб відкрити посилання в новій вкладці, напишіть посилання так, як це було б у HTML, а потім просто додайте атрибут target, встановивши значення порожнім, наприклад: target="_blank"

<p>Learn to code for free at <a href ="https://www.freecodecamp.org/" target="_blank">freeCodeCamp.org!</a><p/>

На сторінці це виглядатиме так.

Як додати атрибут `Noopener`/`Noreferrer`

На жаль, чим більше у вас відкрито вкладок (адже хто не займається багатозадачністю у браузері?), тим більше зростає ризик стати жертвою табнаббінгу. Чим довше вкладка залишається неактивною, тим більше шансів, що зловмисник може підмінити справжню сторінку фальшивою.

Як цьому запобігти? Достатньо додати атрибути rel=”noopener noreferrer” до ваших посилань, ось так:

<p>Learn to code for free at <a href ="https://www.freecodecamp.org/" target="_blank" rel="noopener noreferrer">freeCodeCamp.org!</a><p/>

Навіщо використовувати `noopener`і `noreferrer`?

Атрибут noopener перешкоджає зловмисникам отримати доступ до попередньої вкладки або вікна, з якого було відкрито поточну сторінку. Це досягається шляхом встановлення властивості Window.opener() на null.

Додавання атрибута noreferrer забороняє передачу даних про реферер, тобто зовнішні сайти не дізнаються, що ви їх відвідали через посилання, і ваші дані про трафік залишаються конфіденційними.

Підведення підсумків

Тепер ви маєте краще уявлення про те, що таке табнаббінг і як убезпечити свої посилання (і користувачів) від нього. Сподіваємося, ця інформація була корисною.