Jak chronić się przed nowym zagrożeniem hakerskich LastPass
Web Services Przeglądarki / / December 19, 2019
Wczoraj prawdziwa droga do kradzieży danych wykryto od popularnego menedżera haseł LastPass. Zalecamy, aby przeczytać ten artykuł, tak aby nie spaść na przynętę.
Stosujemy szeroką gamę usług internetowych i aplikacji internetowych, z których każdy jest konieczne ze względów bezpieczeństwa, które mają różne nazwy użytkownika i hasła. Utrzymać je wszystkie w swojej głowie jest niemożliwe, o tyle powszechne menedżerów hasło. Zapewniają one bezpieczne przechowywanie i wygodne korzystanie z nazw użytkowników i haseł nie tylko do usług internetowych, ale również do systemów płatniczych, kont bankowych i tak dalej. Dlatego wyciek lub włamanie z menedżera haseł może być duży problem dla wielu użytkowników.
Jednym z najbardziej popularnych aplikacji tego typu jest LastPass. To naprawdę jest doskonałym rozwiązaniem, które przeszły próbę czasu i licznymi atakami hakerów. Wczoraj jednak, ekspert w dziedzinie bezpieczeństwa komputerowego Shaun Cassidy (Sean Cassidy) stwierdzono możliwość ataków phishingowych na LastPass. On dowcipnie nazwał go LostPass (utraconych haseł).
W skrócie, stwierdzono co następuje luki. Pierwsze, atakujący przynęty Cię na stronie internetowej, który prezentuje podróbka (!) Zawiadomienia, że sesja wygasła i musisz się zalogować ponownie. Prawdopodobnie widziałeś te e-maile z LastPass.
Od zgłoszenia fałszywego kliknij Try przycisk ponownie zabierze Cię na specjalnie utworzonej stronie, która wygląda jak standardowy formularz wpisując login i hasło LastPass. Ona nawet adres będzie prawie taka sama, co zwykle ma oficjalnych stron przeglądarki otwieranych przez zainstalowanych rozszerzeń. Z wyjątkiem małego szczegółu, co mam podświetlonego na zrzucie ekranu. Jestem pewien, że większość użytkowników nie zwraca uwagi na takie drobiazgi nie uwagi.
Następnie należy wprowadzić na tej stronie swój login i hasło, aby zalogować się LastPass, a oni od razu wpaść w ręce hakerów. W rezultacie, ten ostatni otrzyma pełny dostęp do wszystkich miejsc i danych konta. Atak działa nawet jeśli włączono uwierzytelnianie dwuetapowe, tylko sekwencję działań haker będzie jeszcze jeden krok. Więcej szczegółów na temat pracy można odczytać LostPass tutaj (W języku angielskim).
Oczywiście, masz pytanie, jak zabezpieczyć się przed tym niebezpieczeństwem. Choć deweloperzy LastPass nie podjęcia środków w celu zapobieżenia takiemu próbę wyłudzenia informacji, użytkownicy mogą tymczasowo wyłączyć rozszerzenie przeglądarki oparte na tej usługi. Tak, to jest niewygodne i uczynić trzeba ręcznie skopiować haseł z strony LastPass. Bardziej radykalnym rozwiązaniem byłoby znalezienie odpowiednika alternatywy do przechowywania haseł i danych wrażliwych.
Czy nadal korzystać z LastPass lub zostały już włączone do innego menedżera haseł?