Une nouvelle forme de phishing particulièrement sournoise, exploitant les capacités des onglets des navigateurs web, est en train d’émerger sur le web : celle-ci a été baptisée « tabnabbing » ou encore « tabjacking »...

Le phishing est sans doute la forme d’arnaque la plus répandue sur le web, consistant à se faire passer pour un service connu (votre banque, votre fournisseur d’accès, etc.) pour récupérer des identifiants ou des coordonnées bancaires. Le plus souvent, les fausses pages se transmettent par le biais d’e-mails, mais les escrocs rivalisent d’imagination pour trouver de nouvelles méthodes de phishing toujours plus efficaces.

Le tabnabbing cible les utilisateurs utilisant de multiples onglets à la fois au sein de leur navigateur. Le principe en est assez simple : une page malveillante, initialement d’apparence banale, se changera en une imitation d’un service connu (par exemple Gmail) lorsque son onglet se situe en arrière-plan. En retournant sur cet onglet, l’utilisateur peut alors facilement être dupé et entrer ses identifiants par habitude, sans réaliser que l’URL du site ne correspond pas. Le fait que l’onglet soit déjà chargé et présent endort la vigilance de l’internaute, ce qui rend cette arnaque beaucoup plus dangereuse que la plupart des attaques par e-mail, peu crédibles...

Voici un exemple de tabnabbing en action :

Plutôt dangereux, ce type de phishing ne peut toutefois se manifester que sur des pages volontairement piégées par leur auteur. Il n’apparaîtra donc pas sur n’importe quel site ; nul risque de se faire phisher sur Freenews, par exemple ;-)

Comme d’habitude, il convient de rester prudent et de ne pas surfer n’importe où pour éviter au maximum ces dangers...