Hackere kan simulere en login-dialog så tett at selv forsiktig brukere kan rett og slett gi dem sitt brukernavn, passord og til og med deres to-faktor-tasten
LastPass brukerne kan være tatt ut av et phising angrep som er umulig å skille fra den ekte varen.
Foto: LastPass
@SamuelGibbs
Mandag 18. januar 2016 13.51 GMT
En sikkerhet forsker har lansert et verktøy som kan stjele innloggingsinformasjon og to-faktor autentisering-tasten for den populære LastPass passord manager, forlater brukere potensielt utsatt.
LastPass, som mange andre passord ledere, lagrer brukerens passord i skyen i en kryptert hvelv beskyttet av et enkelt brukernavn og passord. Hvelvet kan også være beskyttet ved hjelp av ulike former for to-faktor autentisering.
Verktøyet lar hackere å etterligne utseendet og følelsen av LastPass browser plugin og sted, på grunn av måten password manager bruker nettleseren pop-up bokser eller bannere kalt “viewports” for å be om brukerens passord, og to-faktor autentisering-tasten.
Sean Cassidy, chief technology office for Praesidio, presentert angrepet på hacker-konvensjonen SchmooCon i Washington. Han sa: “jeg kaller dette angrepet LostPass. LostPass fungerer fordi LastPass viser meldinger i nettleseren som angripere kan falske. Brukere kan ikke fortelle forskjellen mellom en falske LostPass melding og real thing fordi det er ingen forskjell. Det er pixel-til-pixel samme varsel og login-skjermen.”
Angrepet baserer seg på en bruker besøker et ondsinnet nettsted eller en som har blitt kompromittert med en ondsinnet reklame eller kode. Det vil oppdage hvis nettleseren er å bruke LastPass, etterligne en LastPass varsling eksternt logg ut brukeren og be om deres passord og to-faktor autentisering-tasten.
Hacker vil da være i stand til å få full tilgang til alle passord lagret i en LastPass brukerens hvelv, endre innstillinger, må du fjerne en brukers tilgang til eller skjule deres tilgang forlater brukeren ingen-klokere.
Fanger selv de mest forsiktige av brukere
Cassidy varslet LastPass om phishing-angrep, som ennå ikke er registrert som blir brukt i naturen, i November. Selskapet implementert et system for å varsle brukerne når de skriver sin LastPass master-passordet på et nettsted som ikke er drevet av passord manager, men Cassidy sa at hackere enkelt kan blokkere at melding.
Cassidy sa: “angrepet fungerer best mot Chrome-nettleseren fordi de bruker en HTML-logg inn-siden. Firefox faktisk dukker opp et vindu for sin logg inn side, så det ser ut som en hvilken som helst operativsystem du bruker.”
Angrepet er ikke et sikkerhetsproblem bug i LastPass seg selv, men fremhever et stort problem som kan fange opp selv de mest forsiktige brukere ut, å lure dem til å gi angriperne deres påloggingsinformasjon.
LastPass sa i et support-dokument om phishing: “[e-post] verifisering prosess som betydelig reduserer risikoen for dette phishing-angrep. Den angriper trenger for å få tilgang til brukerens e-post-konto, som også kunne motvirkes av to-faktor autentisering for e-postkontoen. Dersom en bruker ser en bekreftelse be om at de ikke initiere, de kan trygt ignorere det.”
LastPass har også implementert en løsning som forhindrer at skadelig nettsted fra en bruker logger ut av sine LastPass-kontoen din. Verken endringer hindre angripere fra å stjele brukerens LastPass logg inn detaljer, men du kan hindre dem fra å bruke disse detaljene for å få tilgang til brukerens passord manager.
Selskapet har også sagt at det ville bli et gjensyn med sin melding tilnærming til å gjøre det vanskeligere å etterligne og ba Google i 2012 for å aktivere Chrome-utvidelser for å varsle brukere utenfor rammen av en nettleser vindu.
- Phishing-svindel mål rutere som bruker standard sikkerhetsinnstillinger
- Hvordan å beskytte deg mot phishing