Un ataque de phishing poco conocido

Las personas que usan vínculos target="_ blank" normalmente no tienen idea de este curioso hecho:

La página que estamos enlazando ganan acceso parcial a la página de enlace a través del objeto window.opener.

La pestaña recién abierta puede, por ejemplo, cambiar la posición window.opener.location a alguna página de phishing. O ejecutar en su nombre algún JavaScript en la página de apertura... Los usuarios confían en la página que ya está abierta, y no sospechan.

Ejemplo de ataque: crear una falsa página "viral" con imágenes de chicas lindas, chistes o lo que sea, al ser compartido en Facebook (que es conocido por abrir los enlaces a través de _blank) y, cada vez que alguien hace clic en el enlace, se ejecuta

window.opener.location = 'https://fakewebsite/facebook.com/PHISHING-PAGE.html';

...redirigiendo a una página que pide al usuario volver a introducir su contraseña de Facebook.

Como arreglarlo

Añade esto a sus enlaces salientes:

rel="noopener"

Firefox no soporta "noopener" por lo que debes agregar esto:

rel="noopener"

así:

<a href="/enlace-saliente.html" target="_blank" rel="noopener"/>

Recuerda que cada vez que abras una nueva ventana a través de window.open(); también eres "vulnerable" a esto, así que siempre reinicia la propiedad "opener".

var newWnd = window.open();
newWnd.opener = null;

PD. Curiosamente, a Google no parece importarle.

Comments (0)

There are no comments posted here yet

Leave your comments

  1. Posting comment as a guest.
Attachments (0 / 3)
Share Your Location


Inicia sesión para suscribirte en Youtube

Somos apañados (ñ)
Suscribete