LastPass har styrket sikkerhet for sine brukere etter en sikkerhet forsker varslet selskapet av et phishing-angrep han utviklet for å stjele brukere’ login og to-faktor autentisering legitimasjon.
Sean Cassidy, CTO i Praesidio, demonstrerte phishing-angrep, som han kaller “LostPass,” forrige uke på ShmooCon.
LostPass fungerer som dette: Brukere lokkes til et ondsinnet nettsted, hvor lang tid en falsk LastPass melding vises. Det forfører brukere til å tro at de har logget av tjenesten, og ber de logge inn igjen.
Når brukere skriver inn sine master-passord og to-faktor autentisering data, hvis de har 2FA slått på, svindler fanger data, og kan styre kontoen din.
“Vi tror dette er et svært alvorlig problem av to grunner,” sa Praesidio administrerende DIREKTØR Edgardo Nazario.
“Først, LastPass er en veldig populære passord manager,” fortalte han TechNewsWorld. “For det andre, phishing-angrep vi avdekket at det er forholdsvis enkelt å implementere og gjennomføre.”
Styrket Sikkerhet
Når en konto har blitt kompromittert, Nazario sa, en angriper kan laste ned alle på en brukers informasjon.
Videre inntrenger kan opprette en bakdør inn på konto gjennom LastPass er nødtelefon funksjonen, så vel som deaktivere to-faktor-autentisering og å legge til kontoen som en klarert enhet som tilhører den angriper, han bemerket.
Etter å ha konsultert med Cassidy, LastPass gjort en rekke endringer i folie alle som prøver å kopiere sitt arbeid i naturen, blant dem endre sin bekreftelse krav når en konto er å være tilgjengelig fra et nytt sted, eller en enhet.
Nå e-post bekreftelsen er standard for alle brukere, inkludert de med to-faktor autentisering aktivert. Så hvis svindlere gjøre stjele en legitimasjonen for brukeren, ville de fortsatt trenger å få tilgang til brukerens e-post-konto for å fullføre påloggingsprosessen.
“Ved å kreve bekreftelse for ukjente steder eller enheter, vi har sørget for brukerne er beskyttet fra dette angrepet,” LastPass Marketing Manager Gult Gott Stål fortalte TechNewsWorld.
Kjent Vektor
Stort sett LastPass phishing-ordningen er et kjent.
“Dette er i hovedsak som noen phishing angrep på en bank eller andre Web-tjeneste,” sa Andrew Sudbury, co-grunnlegger og administrerende direktør av
Abine. “Du vise folk en falsk login-skjermen, og få dem til å logge inn.”
Men det som gjør dette litt mer vanskelig for brukerne er at login-skjermen vises på toppen av en Webside, og ikke vise en URL, “så det er ikke så lett å finne ut om det er noe fishy om det,” sa han til TechNewsWorld.
“Alt som prøver å gjøre godkjenning på toppen av en Webside er mer sårbare fordi det er vanskeligere å fortelle om det kommer fra høyre side,” Sudbury lagt til.
Selv om Cassidy valgte LastPass for å demonstrere sin phishing-angrep, det kan endres lett å kompromittere brukere av andre nettsteder.
“I teorien, hver Web-basert program som kan være utsatt for et lignende angrep, inkludert andre passord ledere,” sa Giovanni Vigna, co-grunnlegger og administrerende direktør av
Lastline.
Kunnskapsrike Fools
“Som Web-applikasjoner blir mer sikker, nettkriminelle bytte fokus fra hacking programmet for hacking brukeren,” fortalte han TechNewsWorld.
Brukere som kan falle offer for en LastPass-angrep er “sofistikert nok til å bruke et passord manager, men heller ikke paranoid nok til å fange opp falske websider som du må besøke for å falle i LostPass felle,” bemerket Jonathan Sander, vice president of product strategi for
Lieberman Software.
Brukere bør ta hensyn til hvor forespørsler om sensitive opplysninger kommer fra, Lastline er Vigna advarte.
“Hver gang nettleseren ber om sikkerhet-kritisk informasjon, bør brukeren tydelig bestemme tilhørighet til en slik forespørsel. Hvis opprinnelse kan helt klart være bestemt, da informasjonen ikke bør gis,” sa han.
“Selvfølgelig, dette er vanskelig å oppnå, så vi er alltid rusker sider, ber og pop-up bokser,” Vigna lagt til.
Nettleseren Risiko
Den LastPass angrep er et eksempel på den voksende sikkerhet risiko nettlesere utgjør for forbrukerne, Lieberman er Sander fortalte TechNewsWorld.
“Den samme fleksibilitet som gjør Internett vokser er også å skape fare,” sa han.
“Folk elsker at de kan gjøre mer og mer i sine nettlesere,” Sander observert, “men nettleseren-basert alt betyr angripere kan bruke nettleseren folk er så vant til som en måte å lure dem.”
