Vivim en un món digital en què la ciberseguretat és més crucial que mai. Les tècniques de pesca (phishing) han evolucionat i els ciberdelinqüents cada cop utilitzen mètodes més sofisticats per enganyar les seves víctimes. Un d’aquests mètodes, menys conegut però molt perillós, és el tabnabbing. A diferència de la pesca tradicional, que requereix que l’usuari faci clic en un enllaç fraudulent, el tabnabbing explota un comportament quotidià: mantenir múltiples pestanyes obertes al navegador.

Què és el tabnabbing i com funciona?

El tabnabbing és una tècnica de ciberatac que modifica una pestanya del navegador en segon pla, mentre l’usuari està ocupat en una altra. Els atacants aprofiten aquesta situació per substituir el contingut d’una pestanya inactiva per una pàgina falsa, gairebé idèntica a una web de confiança, com una pàgina bancària, el correu electrònic o una xarxa social. Quan l’usuari hi torna, sense sospitar res, introdueix les seves credencials, que són immediatament robades pels atacants.

Aquest tipus d’atac es basa en JavaScript i funciona de la següent manera:

1. L’usuari visita una pàgina web que conté un codi maliciós, que pot ser un lloc aparentment segur o una web legítima que ha estat compromesa per hackers.
2. Quan l’usuari obre una nova pestanya i deixa la pestanya maliciosa inactiva, el codi JavaScript detecta la inactivitat.
3. El contingut de la pestanya canvia en segon pla sense que l’usuari ho noti, fent que sembli una pàgina real com Gmail, Facebook, PayPal o el portal d’un banc.
4. Quan l’usuari torna a la pestanya inactiva, pensa que és una pàgina de confiança i introdueix les seves credencials de manera automàtica.
5. Les credencials són enviades als atacants, que ara tenen accés al compte de la víctima.

Aquest atac és especialment perillós perquè no requereix que l’usuari faci clic en un enllaç sospitós ni descarregui cap fitxer. Simplement, aprofita la manera en què les persones utilitzen el navegador diàriament.

 

Un atac gairebé indetectable

El tabnabbing és difícil de detectar perquè juga amb els hàbits naturals dels usuaris. Sovint tenim moltes pestanyes obertes i no recordem exactament quin contingut hi havia a cadascuna. Quan tornem a una pestanya que ara sembla la pàgina d’inici de sessió de Gmail o Facebook, la majoria de nosaltres no ens aturem a verificar si és real.

A més, aquest atac no sempre es llança de manera immediata. Alguns hackers programen el codi perquè es modifiqui després d’uns minuts d’inactivitat, fent que sigui encara més difícil rastrejar l’origen del problema.

 

A qui afecta el tabnabbing?

El tabnabbing pot afectar qualsevol persona, però hi ha grups més vulnerables:

• Treballadors d’empresa: els professionals que treballen amb documents confidencials, sistemes corporatius i serveis al núvol poden ser objectius valuosos.
• Periodistes i activistes: persones que treballen amb informació delicada poden ser atacades per governs o grups amb interessos contraris.
• Usuaris habituals de serveis bancaris en línia: els comptes bancaris són una de les principals metes dels ciberdelinqüents.
• Jugadors i creadors de contingut: els comptes de plataformes com Twitch, YouTube o Steam són objectius atractius per a atacants que busquen robar comptes i vendre’ls.

 

Com protegir-se del tabnabbing?

Encara que aquest atac pot ser enganyós, hi ha diverses maneres d’evitar-lo:

1. Revisa sempre l’URL abans d’introduir credencials

Si una pestanya inactiva et demana iniciar sessió de nou, verifica la barra d’adreces. Assegura’t que l’URL sigui correcte i que hi hagi el cadenat de seguretat (HTTPS).

2. No guardis pestanyes obertes innecessàriament

Si no necessites una pestanya, tanca-la. Com més pestanyes inactives tinguis, més oportunitats hi ha perquè un atac d’aquest tipus funcioni.

3. Utilitza un gestor de contrasenyes

Els gestors de contrasenyes, com Bitwarden o LastPass, no completaran automàticament les credencials en una pàgina falsa. Això pot ajudar-te a detectar un intent de tabnabbing.

4. Activa l’autenticació en dos factors (2FA)

Encara que un hacker obtingui la teva contrasenya, si tens activat el 2FA (com un codi SMS o una aplicació d’autenticació), li serà més difícil accedir al teu compte.

5. Evita donar permisos innecessaris a JavaScript

Si una pàgina et demana executar JavaScript de fonts desconegudes, pensa-t’ho dues vegades abans d’acceptar-ho. També pots utilitzar extensions com NoScript per bloquejar l’execució de JavaScript en llocs desconeguts.

6. Utilitza navegadors segurs

Alguns navegadors, com Brave o Firefox, tenen millors opcions de seguretat contra atacs basats en scripts.