Oltalama amacıyla kullanılan eski bir yöntem olan “reverse tabnabbing” konusundan bahsetmek istiyorum. Oltalama (phishing) saldırılarında amaç kullanıcıyı yanıltmaktır. Sizi gerçekte varolmayan veya ilgili siteye ait olmayan yani saldırganın yönetimindeki bir sayfaya yönlendirir ve sizden bilgilerinizi girmeniz beklenir.
Birazdan örnekle açıklayacağımız gibi bir çok sitede kullanıcılar için profil sayfaları bulunmakta ve kullanıcılar profillerinde kişisel websitelerini belirtebilmektedir. Ziyaretçiler profil sayfasındaki linke tıklayarak ilgili kişi hakkında daha çok bilgi almayı umut etmektedirler. Bu sayfalar tıklama sonrası yeni sekmede (_blank) açılacak şekilde tasarlanmaktadır.
Örneğimizde böyle bir profilde yer alan kişisel websitesine (resim-1) tıklanması durumun da yeni sekmede açılacak sayfada sahte bir “404 Sayfa Bulunamadı” tasarımı ile kullanıcının varolmayan bir sayfaya (resim-2) tıkladığı düşüncesi oluşturulur.
Bu sayfa ise geriye doğru yani profil sayfasının bulunduğu sekmeye kullanıcının yeniden giriş yapmasını isteyen “giriş sayfası” (login) tasarımına sahip ve saldırgan tarafından yönetilen başka bir siteye (resim-3) yönlendirecektir.
<script>
window.opener.location.assign('http://fakeurl.com/login.html');
</script>
Sonrası tahmin edileceği üzere kullanıcı sayfadan çıkış (logout) yaptığını düşünerek tekrar giriş bilgilerini dolduracak ve girdiği bilgiler saldırgana iletilecektir.
Çözüm Önerileri
Tarayıcı tarafında henüz çözüm üretilmediği dönemlerde bu durum “a” html tag’ına eklenen rel="nofollow noopener noreferrer" parametresi ile engellenebilmekteydi.
<a href="https://blog-sitesi.com" rel="nofollow noopener noreferrer">Blog Sitesi</a>
Ardından güncel tarayıcılarda aynı domain içerisindeki sayfalar arası geçişlerde kullanılan “location” farklı domainler arasında değer atanmayarak engellendi.
Örnek Uygulama
Olayın daha iyi anlaşılabilmesi için iki farklı örnek hazırladım. Birinci örnekte aynı domain içerisinde örnek uygulandı ve domain değişmediği için de tarayıcı tarafında herhangi engellenmedi. İkinci örnekte ise profil sayfası farklı bir domain altında tutuldu, farklı domaindeki ikinci örnekte 404 sayfasında tarayıcınızın “Inspect” özelliğinden “Console” sekmesinde engellendiğini görebilirsiniz.