¿Qué es el tabnapping y cómo puede protegerse?

¿Alguna vez ha visto una página de inicio de sesión falsa como parte de una estafa de phishing? Por lo general, esperan en el otro extremo de un enlace que lleva a las personas a una página de inicio de sesión muy creíble para un servicio popular. Por ejemplo, puede ver a alguien hablar sobre un video en Facebook con un enlace. Haces clic para ver el video, pero en lugar de llevar a Facebook, te lleva a una imagen falsa de Facebook que solicita tus datos de inicio de sesión para ver el video. La idea es que la gente crea que se ha desconectado de Facebook y vuelve a iniciar sesión, solo para entregar sus datos de inicio de sesión al estafador.

Por supuesto, la gente se está dando cuenta de este tipo de estafa, por lo que cada vez es más difícil para los estafadores obtener datos de inicio de sesión de enlaces falsos. Sin embargo, hay un nuevo método diabólico de phishing en Internet: tabnapping.

Atrapado siesta

En estos días, los estafadores se están alejando de los ataques directos con la esperanza de engañar al usuario. Ahora se centran en atacarte cuando estás «en piloto automático» cuando no estás prestando el 100% de atención. Ha habido muchos ataques desagradables en el pasado, pero el tabnapping es uno de los más nefastos.

Así es como funciona la tabnapping. Alguien crea un sitio web que parece completamente normal. Dentro del código de los sitios web, colocan un verificador para ver si la pestaña se ha vuelto «inactiva». Las pestañas inactivas son pestañas que no está viendo actualmente. Si tiene alguna pestaña en su navegador en este momento, las pestañas inactivas son todas las pestañas en las que no está   leyendo este artículo.

Un usuario visita este sitio web de apariencia inocente y asume que no tiene nada de malo. Luego cambiarán a otra pestaña; quizás alguien les envió un mensaje en Facebook, por ejemplo. Esto significa que la página web «inocente» se ha vuelto inactiva, lo que luego activa el código del estafador.

Esto es lo que hace el código; En primer lugar, se asegura de que haya estado inactivo durante un tiempo suficiente para asegurarse de que lo haya olvidado. Una vez que el tiempo de espera ha expirado, primero cambia el contenido del sitio web a una página de inicio de sesión falsa, Gmail, por ejemplo. Luego cambia el «favicon» del sitio, que es el pequeño icono de imagen que ves en las pestañas. El favicon de MakeTechEasier es el logo azul «MTE». También cambia el nombre de la página de su nombre original a algo como «Gmail: correo electrónico de Google».

Lo que hace es crear una página que sea  casi idéntica a la página de inicio de sesión de Gmail. Si examina detenidamente la pestaña, podrá detectar que algo anda mal de inmediato. Por supuesto, como estás envuelto en tu vida diaria, no lo notas. Entonces recuerdas que necesitas enviar ese correo electrónico a tu amigo, así que vas a la pestaña «Gmail» que está inactiva. Oh, pero Gmail ha cerrado su sesión y requiere información de inicio de sesión nuevamente. ¡Qué lío! Volvamos a ingresar los detalles de inicio de sesión. Esto completa el ataque de tabnapping.

Si desea ver una demostración en vivo de tabnapping en su propio navegador, abra esta página sobre tabnapping  en una nueva pestaña. Deje que la página web se cargue por completo. Vuelva a este artículo y observe la pestaña de captura durante cinco segundos. Después de cinco segundos, se convertirá «mágicamente» en una pestaña de Gmail falsa.

Si bien es solo una demostración, y no hay una página de Gmail de inicio de sesión falsa para engañarlo, puede imaginar lo convincente que sería si hubiera una página de inicio de sesión de Gmail perfecta en esa pestaña. Esto muestra hasta dónde pueden llegar los estafadores para obtener sus datos.

Controlar el phishing

Todo esto suena muy aterrador, y con razón. ¡La idea de que cualquiera de sus pestañas pueda transformarse en un ataque de phishing convincente es muy preocupante! Afortunadamente, aunque los estafadores pueden cambiar el contenido y la información de la pestaña para que parezcan idénticos a los de un servicio oficial, hay algo que nunca han podido copiar perfectamente: la URL de la página.

Por supuesto, los estafadores han hecho todo lo posible con URL que parecen  casi reales. Sin embargo, la copia palabra por palabra de una URL es imposible de hacer y es su principal forma de averiguar una buena página de inicio de sesión de una mala. Si se le presenta una página de inicio de sesión por cualquier motivo, verifique la URL. Si parece sospechoso, como una URL complicada o le falta un certificado «https», ¡no lo use! Ciérrelo, abra una nueva pestaña y navegue hasta el trato real manualmente desde allí. Aquí hay un ejemplo de una pestaña de Facebook auténtica y sus características definitorias:

Aterrador, pero no indetectable

Tabnapping es uno de los métodos más nefastos para estafar a los usuarios, aprovechando las pestañas no utilizadas y nuestro hábito de no revisar las páginas que ya hemos usado para detectar estafas. Si tiene cuidado al iniciar sesión, puede evitar las capturas de tabulaciones y mantener su información segura.

¿Ha sido, o casi ha sido, víctima de un secuestro? ¿Qué opinas de este truco tan nefasto? ¿Crees que te engañaría con éxito si lo encontraras? Háznoslo saber en los comentarios.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario