A en croire l'auteur d'un Proof of Concept (PoC) repris par le site Zataz, quelques secondes seraient nécessaires pour qu'un site web classique se transforme en fausse messagerie Gmail. Azarask (Aza Raskin) explique sur son site (démo à l'appui) qu'un JavasSript malveillant s'active et modifie quelques informations en toute transparence pour l'utilisateur. L'internaute sera dirigé vers une fausse page d'identification sans modification d'Url...
Pour l'instant, la méthode fonctionnerait sous Chrome et Firefox et passerait même les défenses d'outils comme Noscript en cas d'acceptation du script. Sous cette configuration, la fausse page Gmail s'afficherait soit au bout de 20 secondes, soit après 10 rafraichissements de pages avec le clavier.
Reste à savoir si la méthode pourra être utilisée largement par des esprits et logiciels malveillants. Ce Tabjacking pourrait, en effet, conduire un internaute ouvrant plusieurs onglets à se laisser piéger par ce JavaScript malveillant et une fausse page d'identification. Les informations ainsi recueillies pourraient ensuite s'avérer utiles pour trouver et infecter de nouvelles adresses.