Een phishingaanval genaamd "tabnabbing" waarbij openstaande pagina's in de achtergrond zich plots als een phishingpagina voordoen en in 2010 door een Indiase beveiligingsonderzoeker werd gedemonstreerd blijkt vier jaar later nog steeds in de meest recente versies van Google Chrome en Firefox te werken.

Tabnabbing begint met een normaal uitziende website die een potentieel slachtoffer bezoekt. De pagina kan detecteren als de gebruiker een andere website bezoekt en niet meer de focus heeft. Vervolgens kan via JavaScript het favicoon worden vervangen, bijvoorbeeld door dat van Gmail, alsmede de titel van de pagina, zoals "Gmail: Email from Google". Zodra de gebruiker door zijn openstaande tabs heengaat ziet hij de titel van de pagina alsmede het favicoon en denkt dat hij een Gmail-tab open heeft gelaten.

Wordt de valse Gmail-tab geopend dan krijgt de gebruiker een Gmail-inlogpagina te zien. De gebruiker denkt dat hij is uitgelogd en vult nietsvermoedend zijn inloggegegevens in. Als de gegevens zijn ingevuld en doorgestuurd naar de server van de aanvaller, stuurt de phishingsite de gebruiker door naar de echte Gmail-site, waar hij nooit was uitgelogd, waardoor het lijkt alsof de inlogpoging succesvol was.

Hoewel de aanval vier jaar geleden al werd gemeld blijkt die nog steeds te werken, zo laten lezers van Hacker News weten. Zowel gebruikers van Chrome als Firefox melden dat de aanval nog steeds erin slaagt om een inlogvenster te tonen en de naam te wijzigen, hoewel er ook een melding is dat in de bètaversie van Firefox 33 het favicoon niet verandert. Doordat de blogposting van onderzoeker Aza Raskin geen datum vermeld werd die als nieuw op Hacker News geplaatst, waardoor de aanval opnieuw in het nieuws is gekomen.