Firefox-ontwikkelaar Aza Raskin waarschuwt voor een nieuwe pishingmethode, tabnabbing. Daarbij is gebruikers niet meteen zichtbaar dat op de achtergrond in hun browser een site verandert in een neppagina. Hij gebruikt hiervoor niet actieve tabbladen in de Firefox.

Raskin heeft een Javascript geschreven dat herkent of een pagina een tijdje niet meer is gebruikt. Daarna wijzigt hij de favicon, het icoontje op het tablad, in die van Gmail. Stiekem past hij ook de inhoud van de pagina in het tabblad aan, terwijl de gebruiker in een andere tab bezig is.

Het aanvalsscenario is daarna volgens Raskin als volgt: de gebruiker klikt door zijn geopende tabbladen en ziet het icoontje en de loginpagina van Gmail. Hij denkt nog te zijn ingelogd, maar ziet het loginscherm, waarna hij zijn gegevens invult om weer in te loggen.

Het slachtoffer merkt niets van dat zijn inloggegevens zijn ontvreemd, doordat hij daadwerkelijk wordt doorgestuurd naar zijn echte Gmail-inbox. Hij was immers nooit uitgelogd. Raskin heeft een video over dit aanvalstype gemaakt en heeft de broncode gepubliceerd.