ユーザーが開いているブラウザのタブを、気づかないうちに別の内容に書き換えてしまう
Tabnabbing」という最新のフィッシング手法が報告されているそうです。

複数のタブを開いて作業を行う方は多いと思いますが、Tabnabbingでは、
現在アクティブになっていないタブの中身を銀行やGmail等の偽ログインページに書き換えてしまうそうで、
メール等でのフィッシング手法などと違い、ユーザーが気付かずにIDやパスワードを入力してしまう可能性も高くなりそうです。

偽のGmailログインページ
(大きな画像はページ下に掲載)

開いてもいないページがあれば気づくだろう、という私のような方も、
確かに開いてもいないログインページ等がいつの間にか表示されていれば警戒するかもしれません。

ですが、例えばログイン後、一定の時間操作がなければ強制的にログアウトさせるサイトなどでは、
ログアウト後に「セッションが切れた」等とアナウンスするページに切り替わりますが、
そういった仕組みを利用して、タブを偽の「セッション切れ」のページなどに書き換える事も出来るわけです。

それを見たユーザーはセッションが切れたのだと思い込み、再度ログインする・・
同様なやり方は他にもいくらでも考え付くような気がします。


以下、Tabnabbingの手法を再現した動画。

現時点での回避策はなく、できる事はブラウザやインストールしているプラグインを最新にしておく事、
またログイン画面では必ずURLを確認する等といった、ありきたりな対策しかありません。

私は昔からリンクを踏む前もそうですが、必ずURLバーを見る癖があるので、
URLが明らかに違っていればログインする事はないと思いますが、
こういった「自分だけは大丈夫」と思い込んでいる人が、多分一番被害に遭いやすいので気をつけるようにします。

例として、Tabnabbing: A New Type of Phishing Attack
(Firefox開発メンバー Aza Raskin氏のブログ)を開きしばらく置くと、以下のように偽のログインページに切り替わります。
(スクリプトをオンにしていないと切り替わりません)

Aza Raskin 氏のブログ

偽のログインページ

アドレスバーを見ていただければわかると思いますが、偽のGmailログインページです。
このように明らかに違えば気づき易いですが、
非常に似たスペルのURLだと気づかずにログインしてしまう方もおられるかもしれません。