Serangan atau tipuan tabnabbing dapat dibuat lebih terstruktur untuk meningkatkan keberhasian Serangan ini dapat dilakukan bahkan jika JavaScript dinonaktifkan, menggunakan elemen meta " refresh ", atribut HTML yang digunakan untuk pengalihan halaman yang menyebabkan pemuatan ulang halaman baru yang ditentukan setelah interval waktu tertentu.
Saat seseorang terkena tipuan tabnabbing dan memasukkan login mereka, kata sandi dan detail lainnya yang akan digunakan untuk tujuan yang tidak benar.Beberapa waktu lalu salah satu admin nakanosec melaporkan celah Tabnabbing pada situs instagram. Sayangnya temuan ini dinilai kurang critical oleh pihak instagram dan dinyatakan informative. Sampai saat artikel ini dibuat, belum ada perbaikan tehadap celah Tabnabbing pada instagram jadi mari kita lakukan exploitasinya,,,
Q: Bang, Apa yang diperlukan buat melakukan exploitasi Tabnabbing?Piye Om Carane (POC)
A: 2 Domain atau situs (satu situs asli yang ditanamkan payload, dan satu situs phising dengan domain yang hampir mirip)
1.Sediakan satu situs dengan payload seperti dibawah.
Payload ini dapat kalian pastekan dibawah <title> atau <html> kamu juga dapat mengubah nakanosec.com menjadi domain yang mirip dengan domain target. Jika domain target instagram.com maka kita bisa membuat domain lnstagram.com (itu huruf L kecil) untuk mengelabuhi korban.
2.Edit Bio pada Instagram dan isi keterangan website menjadi malicious web milik kamu. Disini saya menggunakan situs milik saya yaitu http://cyber137.tech/ (kalian juga dapat melakukan uji coba dengan situs ini)
3.Ketika saya klik situs cyber137.tech tidak ada hal aneh yang terjadi.
4.Ketika kita kembali ke tab yang semula instagram.com maka tab tersebut berubah menjadi nakanosec.com
Untuk penyerangan secara real attacker dapat mengubah nakanosec.com menjadi domain lnstagram.com (itu huruf L kecil) dan membuat konten selayaknnya instagram...
Live Previewnya bisa dilihat pada Vidio berikut:
Mungkin itu saja untuk artikel kali ini, jika ada yang kurang dipahami atau ingin bertanya silahkan menghubungi kami via fanspage.
Terimakasih dan semoga bermanfaat :)