Har du någonsin sett en falsk inloggningssida som en del av en phishing-bluff? De väntar vanligtvis i den andra änden av en länk som leder människor till en mycket trovärdig inloggningssida för en populär tjänst. Du kan till exempel se att någon pratar om en video på Facebook med en länk. Du klickar på den för att se videon, men istället för att leda till Facebook leder det till en falsk Facebook look-a-like som ber om dina inloggningsuppgifter för att se videon. Tanken är att folk tror att de har loggats ut från Facebook och går att logga in igen, bara för att lämna in sina inloggningsuppgifter till spammaren.

Självklart väcker människor sig för den här typen av bluff, så det blir svårare för svindlarna att få inloggningsuppgifter från falska länkar. Det finns dock en fiendish ny metod för phishing på internet: tabnapping.

Caught Napping

Dessa dagar går scammers bort från direktattacker i hopp om att lura användaren. Nu fokuserar de på att attackera dig när du är "på autopilot" när du inte betalar 100% uppmärksamhet. Det har varit många otäcka attacker i det förflutna, men tabnapping är en av de mer häftiga.

Så här fungerar tabnapping. Någon sätter upp en webbplats som ser helt normal ut. Inom webbplatskoden placerar de en checker för att se om fliken har blivit "inaktiv". Inaktiva flikar är flikar som du för närvarande inte tittar på. Om du har några flikar i din webbläsare just nu är de inaktiva flikarna alla flikar som du inte läser den här artikeln i.

En användare besöker denna oskyldiga webbplats och antar att inget är fel med det. De skifter sedan över till en annan flik; kanske någon skickade dem på Facebook, till exempel. Det betyder att den "oskyldiga" webbsidan har blivit inaktiv, vilket aktiverar spammarens kod.

Här är vad koden gör; Först och främst säkerställer det att det har varit inaktivt under tillräckligt lång tid för att se till att du har glömt bort det. När väntetiden har löpt ut ändras först webbplatsens innehåll till en falsk inloggningssida, till exempel Gmail. Det ändrar sedan "favicon" på webbplatsen, vilket är den lilla bildikonen du ser på flikar. MakeTechEasiers favicon är den blå "MTE" -logotypen. Det ändrar även sidnamnet från sitt ursprungliga namn till något som "Gmail: Email från Google."

Vad det här gör är att skapa en sida som är nästan identisk med inloggningssidan i Gmail. Om du tog en lång, hård titt på fliken kan du upptäcka att något är fel omedelbart. Naturligtvis, för att du är upptagen i ditt dagliga liv märker du inte det. Då kommer du ihåg att du måste skicka det här e-postmeddelandet till din vän, så du går över till fliken "Gmail" som är inaktiv. Åh, men Gmail har loggat ut dig och kräver inloggningsinfo igen. Vilket krångel! Låt oss ange inloggningsuppgifterna igen. Detta avslutar tabnapping-attacken.

Om du vill se en live demonstration av tabnapping i din egen webbläsare, öppna den här sidan om tabnapping i en ny flik. Tillåt webbsidan att ladda helt. Fliken tillbaka till den här artikeln och titta på fliken Tabnapping i fem sekunder. Efter fem sekunder blir det "magiskt" en falsk Gmail-flik.

Medan det bara är en demo, och det finns ingen falsk inloggnings Gmail-sida för att lura dig, kan du föreställa dig hur övertygande det skulle vara om det fanns en detaljerad Gmail-inloggningssida på den fliken. Detta visar hur länge scammers kan gå för att få dina detaljer.

Håller flikar på phishing

Det här låter väldigt läskigt och med rätta. Tanken att någon av dina flikar kan förvandlas till en övertygande phishing-attack är mycket oroande! Tack och lov, medan scammers kan ändra innehåll och flikinformation för att se ut som en officiell tjänst, finns det en sak som de aldrig lyckats kopiera perfekt - webbadressen till sidan.

Självklart har scammers försökt sitt bästa med webbadresser som ser nästan ut som den riktiga saken. Kopiering av ord för ord för en webbadress är dock omöjlig att göra och är din viktigaste väg att ta reda på en bra inloggningssida från en dålig. Om du presenteras med en inloggningssida av någon anledning, kolla adressen. Om det ser fiskigt ut, som en förknippad URL eller det saknas ett "https" -certifikat, använd det inte! Stäng det, öppna en ny flik och navigera till den verkliga affären manuellt därifrån. Här är ett exempel på en autentisk Facebook-flik och dess definierande funktioner:

Skrämmande, men inte oåterkallelig

Tabnapping är en av de mer häftiga metoderna för bedrägeri användare, preying på oanvända flikar och vår vana att inte kolla sidor som vi redan har använt för bedrägerier. Genom att ta hand om dig när du loggar in kan du undvika tabnapping och hålla din information säker.

Har du, eller nästan varit, ett offer för tabnapping? Vad tycker du om detta starkt fängslande trick? Tror du att det skulle lyckas lura dig om du stöter på det? Låt oss veta i kommentarerna.