חלק גדול מהמשתמשים באינטרנט למדו להיזהר מסימנים מקדימים של תרמית פישינג (תרמית שבה התוקף גורם לקורבן להקליד את פרטי הכניסה שלו לאתר מסוים), בדרך כלל בצורה של אימייל שמגיע כביכול מאתר שלמשתמש יש בו חשבון, ומכיל לינק לאתר עם שם דומה ועיצוב זהה.
התקפת פישינג שנחשפה בחודשים האחרונים מנצלת את חוסר תשומת הלב לפרטים ותחושת הביטחון בגלישה בטאבים (לשוניות בדפדפן) של רוב המשתמשים באינטרנט, וכנראה שתפיל בפח גם את המשתמשים המנוסים ביותר.
אזה רסקין, ראש צוות המעצבים של הדפדפן Firefox, מסביר שההתקפה היא אלגנטית ופשוטה: "למשתמש ישנם מספר טאבים פתוחים בו-זמנית בזמן שהוא גולש, ואחד האתרים שפתח מכיל קוד javascript (קוד שקיים בחלק גדול מהאתרים כיום) שמשנה את הכותרת של הטאב וגם את התוכן של העמוד, כך כשהמשתמש חוזר לאותו הטאב הוא נראה כמו עמוד כניסה לאחד האתרים שבו הוא משתמש".
כך מתבצעת ההתקפה שלב אחרי שלב: המשתמש גולש באינטרנט כאשר פתוחים לו (לדוגמא) 6 טאבים בדפדפן, ואחד האתרים שאליהם גלש (לא הטאב שהוא צופה בו כרגע) מכיל קוד שממתין מספר דקות ומשנה את תוכן האתר, את הסמל favicon (הסמל של האתר שמופיע גם בשורת הכתובת וגם על הטאב) ואת הכותרת כך שהם כולם נראים כמו עמוד הכניסה ל-Gmail.
בסוג ההתקפה הזה שורת הכתובת תראה שמדובר באתר מתחזה, אבל רוב המשתמשים לא מביטים בשורת הכתובת כשמדובר בטאב שכבר פתוח. כך הסמל והכותרת שעל הטאב מושכים את תשומת הלב של המשתמש בזמן שהוא סורק את הטאבים הפתוחים שלו, וכשהוא מקליק על הטאב הוא פשוט חושב שהשאיר את חשבון הדוא"ל שלו פתוח והאתר מבקש אחרי כמה דקות להכניס מחדש את פרטי המשתמש.
כאשר המשתמש רואה את עמוד הכניסה הסטנדרטי ל-Gmail הוא מקליד את פרטי הכניסה שלו, ואז התוקף, שקולט את הנתונים בשרת שהכין מראש, מפנה את המשתמש בחזרה לאתר Gmail האמיתי. המשתמש שמעולם לא יצא מהאתר רואה מהצד שלו שלאחר שהקליד את פרטי הכניסה הוא נכנס לחשבון שלו ב-Gmail ולא חושד לרגע שפרטי הכניסה שלו נגנבו.
המאמר
בבלוג של אזה רסקין (קצת רכילות הייטק: מדובר בבן של הממציא של המקינטוש, ג'ף רסקין) מכיל קוד javascript שמדגים את ההתקפה – אם תפתחו את הבלוג שלו בלשונית כלשהי ותעברו ללשונית אחרת, הלשונית של הבלוג שלו תתחלף לדף כניסה של Gmail לאחר מספר דקות – בדקו ו"זהו את ההבדלים" עם האתר המקורי.
חשוב לזכור שההתקפה הזו יכולה לשמש לכל אתר, והיא רלוונטית במיוחד לאתרים של בנקים, שהם אתרים עם אבטחה גבוהה שמוציאים אוטומטית את המשתמש החוצה לאחר מספר דקות ללא פעילות. ברגע שפתוח אתר שמכיל את הקוד javascript הזדוני באחת הלשוניות, התוקף יכול בקלות לאתר אילו אתרים פתוחים בשאר הטאבים וכמה זמן הם ללא פעילות. התוקף יכול גם להעתיק מראש את הדף שמבקש התחברות מחדש אחרי תקופה ללא פעילות במקום את דף ההתחברות הרגיל, מה שנותן להתקפה אפילו יותר אמינות.
ההתקפה עובדת בכל הדפדפנים הנפוצים כיום בשוק, וגם בכמה דפדפנים פחות נפוצים. ההבדל היחיד הוא בדפדפנים Safari ו-Chrome שבהם הסמל favicon שעל הטאב לא משתנה על-ידי הקוד. כמובן שזה "באג" שניתן יהיה לעדכן בקלות בעתיד, וגם יהיה ניתן ליצור בקלות ערכה מוכנה שמבצעת את ההתקפה בצורה אוטומטית לכמה אתרים שונים.
ההתקפה לא תעבוד במערכות הפעלה שעליהן מותקנת תוכנת אנטי וירוס שיודעת לסרוק את תעבורת ה-HTTP ולזהות סקריפטים זדוניים. כמו-כן, מי שמשתמש בדפדפן Firefox עם התוסף המצוין
Noscript יהיה מוגן מההתקפה כל עוד לא יאשר את ההרצה של הסקריפט מהאתר.