Sostituisce la pagina web originale con quella contraffatta quando l'utente è occupato altrove. Questa la nuova “trovata” dell’ultima minaccia che si sta diffondendo sulla rete creando non pochi problemi a utenti ed esperti di sicurezza informatica. Si tratta di un nuovo e più astuto tipo di phishing meglio noto con il nome di Tabnabbing (Acchiappa tab) proprio perché attacca le schede del browser, e che a differenza dei suoi predecessori pharming, phishing, clickjacking e slurping, opera in sordina sfruttando l’abitudine degli utenti di aprire più schede all’interno del browser.

La novità di questo attacco, nello specifico, e da qui anche il grave pericolo annunciato, è che tabnabbing non cerca di trarre in inganno l’utente presentandogli una pagina web contraffatta come prima azione, bensì di sostituirgliela con una alterata quando l'utente si sta occupando d’altro.  Utilizzando un qualsiasi browser, infatti, l’ignara vittima può essere indotta ad accedere a una pagina web sulla quale è stato attivato l’attacco e appena  passa a un’altra scheda del browser o ad altra applicazione,  uno script java sostituisce l'icona della pagina web (l’immagine favicon.ico) cambiando il titolo della scheda del browser e modificando il contenuto della pagina. In questo modo, quando la vittima designata torna alla pagina iniziale, può facilmente essere portato a eseguire azioni che possono rivelare importanti informazioni personali, quali ad esempio, quelle di accesso a una risorsa web protetta.

Il tabnabbing, dunque, risulta essere una modalità molto più sofisticata rispetto alle precedenti, ma anche molto più efficace poiché scaltri cyber criminali potrebbero utilizzarli anche per mettere a punto attacchi mirati e colpire gruppi di utenti con determinate  caratteristiche.

Molti i modi per verificare se e quando  l’utente ha effettuato il log in particolari siti web. Visualizzando false informazioni di accesso, l'aggressore può  indurre l’utente a inserire nuovamente la sua login utilizzando poi queste informazioni per ulteriore utilizzi disonesti  avvalendosi  delle informazioni inserite per la connessione originaria.  L’unica cosa di cui si accorge l’utente è semplicemente di aver avuto un logout inaspettato.

L'hacker può quindi tranquillamente utilizzare le credenziali ottenute per eseguire qualsiasi tipo di azione non autorizzata, che potrebbe essere di qualunque tipo.

L'attacco, poi, può essere ancora ulteriormente raffinato personalizzandolo su  un particolare gruppo di utenti che l’hacker  sa essere utenti di una particolare applicazione come, per esempio, una pagina di accesso all’Intranet aziendale. Potenziali vittime potrebbero anche essere gruppi di utenti che utilizzano tutti la stessa banca online.

Nella loro forma più semplice, gli attacchi di questo tipo risultano essere molto facili da eseguire ed è quindi prevedibile che, tra breve, possano essere messi in pratica in maniera molto diffusa.