Tabnabbing, un caso reale di Phishing ai danni di Facebook

 Tabnabbing, un caso reale di Phishing

Grazie alla segnalazione di Claudio Rizzo (~Zip~) i primi giorni di Marzo 2014 abbiamo rilevato un particolare attacco di phishing ai danni di Facebook e del portale WhatsApp Hacking, la particolarità di questo attacco è lo sfruttamento della tecnica di Tabnabbing.

Il Tabnabbing è una tecnica di attacco informatico di tipo phishing con un minimo di arguzia in più.
Viene presentato infatti alla vittima un link ad una pagina internet del tutto innocua e con del contenuto interessante. L’utente medio ha ormai l’abitudine di navigare su più tab (schede) all’interno del suo browser e la pagina in questione sfrutta questa abitudine per cambiare d’aspetto nel momento in cui l’utente la lascia aperta per visitare una nuova tab. Il nuovo aspetto rispecchierà in tutto e per tutto quello di una pagina di accesso a dei servizi online in cui vengono chieste username e password (per esempio il sito di posteitaliane, quello di un homebanking oppure la pagina di login di gmail come riportato dal link esterno). La vittima, tornando sulla scheda del sito attaccante, non si ricorderà più che quella deriva da un link non sicuro che ha cliccato, potrà invece pensare che aveva aperto tale pagina senza aver ancora effettuato l’accesso. Ovviamente l’inserimento dei dati in questa pagina verranno inoltrati all’account dell’attaccante e l’utente verrà reinderizzato sul sito reale in modo che non si accorga di essere stato derubato delle credenzialità. {Wikipedia}

Visto il forte interesse a “controllare” le conversazioni altrui di WhatsApp l’utente medio che faceva una ricerca online trovava nei principali risultati il portale “WhatsApp Hacking”, sito ospitato gratuitamente presso un importante provider che offre domini di terzo livello gratuitamente. Il sito in questione è una copia speculare dell’originale http://www.whatsapphack.com ma tradotto in Italiano, il sito civetta era stato costruito per trafugare le credenziali di accesso degli utenti Facebook!

Grazie alla collaborazione del D3Lab siamo riusciti a ricostruire integralmente il portale ed abbiamo riprodotto in locale l’esperienza di navigazione, che vi proponiamo nel seguente video:

Entrando più nello specifico il sito internet era composto da i seguenti file:

  • home.php
  • index.php
  • send.php
  • tabnabbing.js
  • contatti.txt

Il file index.php incorporava questa porzione di codice:


<script language="javascript" src="tabnabbing.js"></script>
<meta charset="UTF-8" />
<title>Whatsapp Hack - Whatsapp Hack Tool</title>

che richiama il file tabnabbing.js che incorpora la seguente porzione di codice:


function createShield(){
div = document.createElement("div");
div.style.position = "fixed";
div.style.top = 0;
div.style.left = 0;
div.style.backgroundColor = "white";
div.style.width = "100%";
div.style.height = "100%";
div.style.textAlign = "center";
document.body.style.overflow = "hidden";

window.location = 'home.php'

var oldTitle = document.title;
var oldFavicon = favicon.get() || "/favicon.ico";

div.appendChild(img);
document.body.appendChild(div);
img.onclick = function(){
div.parentNode.removeChild(div);
document.body.style.overflow = "auto";
setTitle(oldTitle);
favicon.set(oldFavicon)
}

Come è possibile vedere il precedente Java Script crea l’effetto Tabnabbing, una volta che l’utente cambia il focus su un’altra pagina/applicazione automaticamente entra in azione lo script che va a caricare la pagina home.php! Tale pagina emula la pagina di accesso di Facebook con un form che rimanderà al file send.php per il salvataggio delle credenziali:

<form id="login_form" action="send.php" method="post" onsubmit="https://www.facebook.com">

quest’ultimo file send.php contiene invece la seguente porzione di codice che rimanda l’utente sull’autentico portale di Facebook mostrandoli una foto del Concorso Protagoniste della Creatività:


<meta http-equiv="refresh" content="0; url=https://www.facebook.com/photo.php?fbid=539777592726633&set=a.539291452775247.1073741830.539232656114460&type=3&theater">

Il file send.php contiene inoltre lo script di memorizzazione delle credenziali sottratte all’utente, porzione di codice che non riusciamo a mostrarvi perché nidificato all’interno del Hypertext Preprocessor  “<?php” – “?>” ma che abbiamo scoperto salverà le credenziali all’interno del file contatti.txt che al momento della nostra analisi conteneva più di 160 credenziali sottratte come è possibile vedere nel seguente screenshot appositamente oscurato:

Credenziali_Phishing_Web

In conclusione l’utente che cercava online un metodo per leggere le conversazioni di WhatsApp di una terza persona trovava tra i primi risultati di Google il sito internet http://whatsapphack.provider123.com, tale sito era una copia speculare dell’autentico sito www.whatsapphack.com ma tradotto in Italiano e non permetteva il download di alcuna applicazione, ma non appena si cambiava il focus del scheda/pannello del Browser magari per vedere una notifica su Twitter o un altro risultato della ricerca entrava in funzione lo script di Tabnabbing che sostituiva la pagina con un form di autenticazione di Facebook falso debito esclusivamente a sottrarre le credenziali.

Quanto prima provvederò a contattare tutti gli utenti coinvolti e gli avviserò che le loro informazioni sono state trafugate!

Ringrazio Claudio Rizzo per la segnalazione e Denis Frati del D3Lab per il supporto.