Bug Tabnabbing pada Instagram

Tabnabbing adalah teknik serangan eksploit sejenis phishing, yang membujuk pengguna untuk mengirimkan detail login dan kata sandi mereka ke situs web asli dengan menyamar sebagai situs dan meyakinkan pengguna bahwa situs tersebut asli. Nama serangan itu diciptakan pada awal 2010 oleh Aza Raskin , seorang peneliti keamanan dan pakar desain. Serangan ini memanfaatkan ketidak waspadaan pengguna dan kurangnya perhatian terhadap detail terkait tab, dan kemampuan browser untuk bernavigasi setelah halaman dimuat. Tabnabbing berbeda dari sebagian besar serangan phising karena pengguna tidak secara sadar membuka tab bahwa tab tersebut adalah hasil dari tautan yang sudah dimanipulasi menggunakan kode tertentu sehingga salah satu tab yang terbuka berganti dengan situs palsu.


Serangan atau tipuan tabnabbing dapat dibuat lebih terstruktur untuk meningkatkan keberhasian Serangan ini dapat dilakukan bahkan jika JavaScript dinonaktifkan, menggunakan elemen meta " refresh ", atribut HTML yang digunakan untuk pengalihan halaman yang menyebabkan pemuatan ulang halaman baru yang ditentukan setelah interval waktu tertentu.

Saat seseorang terkena tipuan tabnabbing dan memasukkan login mereka, kata sandi dan detail lainnya yang akan digunakan untuk tujuan yang tidak benar.
Beberapa waktu lalu salah satu admin nakanosec melaporkan celah Tabnabbing pada situs instagram. Sayangnya temuan ini dinilai kurang critical oleh pihak instagram dan dinyatakan informative. Sampai saat artikel ini dibuat, belum ada perbaikan tehadap celah Tabnabbing pada instagram jadi mari kita lakukan exploitasinya,,,

Q: Bang, Apa yang diperlukan buat melakukan exploitasi Tabnabbing?
A: 2 Domain atau situs (satu situs asli yang ditanamkan payload, dan satu situs phising dengan domain yang hampir mirip)
Piye Om Carane  (POC)
1.Sediakan satu situs dengan payload seperti dibawah.


Payload ini dapat kalian pastekan dibawah <title> atau <html> kamu juga dapat mengubah nakanosec.com menjadi domain yang mirip dengan domain target. Jika domain target instagram.com maka kita bisa membuat domain lnstagram.com (itu huruf L kecil) untuk mengelabuhi korban.

2.Edit Bio pada Instagram dan isi keterangan website menjadi malicious web milik kamu. Disini saya menggunakan situs milik saya yaitu http://cyber137.tech/ (kalian juga dapat melakukan uji coba dengan situs ini)


3.Ketika saya klik situs cyber137.tech tidak ada hal aneh yang terjadi.

4.Ketika kita kembali ke tab yang semula instagram.com maka tab tersebut berubah menjadi nakanosec.com

Untuk penyerangan secara real attacker dapat mengubah nakanosec.com menjadi domain lnstagram.com (itu huruf L kecil) dan membuat konten selayaknnya instagram...

Live Previewnya bisa dilihat pada Vidio berikut:


Mungkin itu saja untuk artikel kali ini, jika ada yang kurang dipahami atau ingin bertanya silahkan menghubungi kami via fanspage.

Terimakasih dan semoga bermanfaat :)

Catatan: Hanya anggota dari blog ini yang dapat mengirim komentar.