Как да се предпазите от новата заплаха от хакерски LastPass
Уеб услуги Браузъри / / December 19, 2019
Вчера, истинският начин да крадат данни е бил открит от популярния мениджър LastPass парола. Препоръчваме ви да прочетете тази статия, така че да не падне за стръв.
Ние използваме най-различни онлайн услуги и уеб приложения, всяко от които е необходимо от съображения за сигурност, за да имат различни потребителски имена и пароли. Дръжте ги в главата ти е невъзможно, толкова широко разпространени мениджъри парола. Те осигуряват защитено съхранение и удобно използване на потребителски имена и пароли не само за онлайн услуги, но също така и към системите за плащане, банковите сметки и така нататък. Ето защо, изтичане или хакване на управителя на парола може да бъде голям проблем за много потребители.
Един от най-популярните приложения от този вид е LastPass. Това наистина е отлично решение, че е преминал теста на времето и многобройните атаки на хакери. Вчера, обаче, експерт по компютърна сигурност Шон Касиди (Sean Cassidy) е установено, е възможно да се фишинг атаки срещу LastPass. Той остроумно нарече го LostPass (изгубени пароли).
С една дума, намерени, както следва уязвимости. Първи, атакуващият ви примамва към уебсайт, който витрини фалшив (!) Уведомление А, че сесията е изтекъл и трябва да влезете отново. Вероятно сте виждали тези имейли от LastPass.
От уведомление фалшив, кликнете върху бутон Опитайте отново ще ви отведе на специално създадена страница, която изглежда точно като стандартен формуляр за въвеждане на потребителско име и парола LastPass на. Тя дори адрес ще бъде почти същият, който обикновено има официални страници на браузъра отворени от инсталираните разширения. С изключение на една малка подробност, която съм се подчертава в скрийншота. Сигурен съм, че повечето потребители не обръщат внимание на такива дреболии никакво внимание.
След това можете да въведете на тази страница, вашето потребителско име и парола, за да влезете в LastPass, и те веднага да падне в ръцете на хакери. В резултат на това, той получи пълен достъп до всичките си сайтове и данните в него. Атаката работи дори ако сте активирали двуфакторна автентикация, само последователността на действията на хакера ще бъде още една стъпка. Повече подробности за работата могат да бъдат прочетени LostPass тук (На английски).
Разбира се, че имате въпрос, как да се предпази от тази опасност. Докато LastPass разработчиците не вземат мерки за предотвратяване на такъв фишинг атака, потребителите могат да забраните временно разширяване на тази услуга, базиран на браузър. Да, това е неудобно и да ви накара да се наложи ръчно да копирате вашите пароли с уеб страница LastPass. А по-радикален вариант би бил да се намери еквивалент алтернативи до пароли магазин и чувствителни данни.
Все още ли използвате LastPass или вече са преминали към друг мениджър парола?