က်ေနာ္ Tabnabbing အေၾကာင္းေလး နည္းနည္းေလာက္မိတ္ဆက္ေပးခ်င္လို႔ပါ..အရမ္းၾကီးအသစ္ၾကီးေတာ့မဟုတ္ပါဘူး သိျပီးသားလဲျဖစ္ေလာက္ပါတယ္. Tabnabbing ဆိုတာ Phishing ကိုအေျခခံထားတဲ့ အသစ္ပံုစံ တစ္မ်ိဳးပါ. သိၾကတဲ့ အတိုင္း ပံုမွန္ phishing ဟာ အသံုးျပဳသူ မ်ားလာတဲ့ အမွ် ေတာ္ေတာ္မ်ားမ်ားကလဲ သတိျပဳမိလာၾကတယ္.. url ကိုလွမ္း ၾကည့္လိုက္ရံုနဲ႔ Fake page မွန္းသိလာၾကတယ္.အခု Tabnabbing ကေတာ့ အဲ့ဒိဟာကိုဖာေထးလိုက္တဲ့ အတြက္ ပိုျပီး effective ျဖစ္ပါတယ္..သို႔ေသာ္လဲပဲ Phishing ကို modified လုပ္ထားတဲ့အတြက္ phishing ကုိေတာ့ သိထားရမွာျဖစ္ပါတယ္.
phishing နဲ႔ ပတ္သက္တာေတြကို ဖတ္ခ်င္ရင္
Attacker အတြက္ လိုအပ္ခ်က္ေတြက ဘာလဲ ???
-Tabnabbing ကိုအသံုးျပဳမယ္ဆိုရင္ Attacker ဆီမွာ ကိုယ္ပိုင္ website ရွိရင္ အေကာင္းဆံုးျဖစ္ပါတယ္.(မရွိလဲရေတာ့ရပါတယ္)
- ျပီးေတာ့ သူ႔ website မွာပဲ Phishing အတြက္လုိအပ္မယ့္ javascript ေတြကို embed လုပ္ဖို႔ လိုအပ္ပါတယ္.
- ေနာက္ဆံုးတစ္ခုကေတာ့ Target User က Browser မွာ Webpage ေတြ ကို ဖြင့္တဲ့ အခါ muti-tabs (tab တစ္ခု ထက္ပိုျပီး အမ်ားၾကီး) ဖြင့္သံုးသူျဖစ္ဖို႔ လိုအပ္ပါတယ္..
Tabnabbing ဘယ္လိုအလုပ္ လုပ္သလဲ ???
-User ဟာ Attacker ရဲ႕ website ကို၀င္ေရာက္ လည္ပတ္လာပါတယ္.
-ျပီးသူက ေနာက္ထပ္ Tab တစ္ခု ဖြင့္ျပီး တစ္ျခား ဆုိက္ဒ္ ေတြကို ဖြင့္ၾကည့္တယ္. Attacker ရဲ႕ဆိုက္ဒ္ကိုလဲမပိတ္ပဲထားခဲ့တယ္ေပါ့ဗ်ာ (tab ေတြအမ်ားၾကီးဖြင့္ျပီးၾကည့္ေနတယ္လို႔ ျမင္ေယာင္ၾကည့္ပါ)
-အဲ့လို တစ္ျခားဆိုက္ေတြကိုၾကည့္ေနတဲ့အခိ်န္မွာ Attacker ရဲ႕ဆိုက္ဒ္ ဟာ သူ႔အလုိလို Redirect ျဖစ္ျပီး phishing page ကုိေရာက္သြားပါမယ္.Gmail page လို႔ပဲ ထားၾကပါစို႔.
-ေနာက္ေတာ့ user က ျပန္ျပီး အရင္ဖြင့္ခဲ့တဲ့ Tab ကိုျပန္ၾကည့္ခ်ိန္မွာ Gmail page ကုိသူ႔ဖြင့္ခဲ့တယ္ပဲထင္သြားပါလိမ့္မယ္.ဒီအခ်ိန္မွာ url ကုိျပန္စစ္ၾကည့္မွာမဟုတ္ေတာ့ပါဘူး..ေနာက္ေတာ့ Gmail မွာ Login ၀င္လိုက္တဲ့အခါမွာေတာ့…
-အဲ့ဒီလိုနဲ႔ Tabnabbing ဆိုတာ အလုပ္ျဖစ္သြားပါတယ္..
ဒါဟာ Tabnabbing ကိုမိတ္ဆက္ေပးရံုသာျဖစ္ပါတယ္..ကိုယ္တိုင္လဲသတိထားႏိုင္ရန္ ေရးလိုက္တာပါ.Tutorial တစ္ခု အေနနဲ႔တင္ေပးဖို႔လဲရွိပါတယ္..
By Bboy@MHU
0 comments:
Post a Comment