Atak phishingowy LastPass mógł zgarnąć hasła

Relatywnie prosty atak phishingowy może być wykorzystany do złamania powszechnie używanego menedżera haseł LastPass, zgodnie z nowymi badaniami.

Powiadomienia wyświetlane przez LastPass w wersji 4.0 w oknie przeglądarki mogą zostać sfałszowane, zachęcając ludzi do ujawnienia swoich danych logowania a nawet wyrwanie jednorazowego kodu, według Seana Cassidy'ego, który przedstawił prezentację na konferencji Shmoocon w sobotę.

Cassidy, który jest dyrektorem naczelnym Praesido Inc., powiadomił LastPass o problemach. W poście na blogu, LastPass powiedział, że dokonał ulepszeń, które powinny uczynić taki atak trudniejszym do zrealizowania bez wiedzy użytkownika.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Cassidy opublikował narzędzie na GitHub o nazwie LostPass, który pokazuje, w jaki sposób osoba atakująca może sfałszować ostrzeżenia z LastPass, ostatecznie oszukując użytkownika w celu rezygnacji z poświadczeń logowania.

W poście na blogu Cassidy opisuje, w jaki sposób LastPass powiadomi użytkowników, jeśli wylogują się z aplikacji. Ale alert jest wyświetlany przez okno przeglądarki, a ten sam alert może zostać utworzony i wywołany przez osobę atakującą, jeśli ktoś może zostać zwabiony na złośliwą stronę.

Za atak na dowody koncepcji, kupił domenę " chrome-extension.pw ", który wygląda podobnie do protokołu przeglądarki Chrome dla rozszerzeń przeglądarki i nieprawdopodobnie podnosi poziom brwi.

Fałszywy alarm LostPass, po kliknięciu, może następnie doprowadzić do złośliwej domeny, która prosi o poświadczenia użytkownika. Jeśli włączone jest uwierzytelnianie dwuskładnikowe, token dostępu może również zostać skradziony. W tym momencie wszystkie hasła ofiary można zebrać przy użyciu LastPass API, napisał Cassidy.

Dziwnie, ci klienci LastPass, którzy mają uwierzytelnianie dwuskładnikowe, mogli być bardziej podatni na atak.

Cassidy napisał, że LastPass wysłał powiadomienie e-mailem, jeśli próba logowania została podjęta z nowego adresu IP. Ale ten alert jest wysyłany tylko wtedy, gdy dana osoba nie ma włączonego uwierzytelniania dwuskładnikowego, więc osoby z nim włączone nie będą wiedziały o podejrzanym logowaniu.

Od tego czasu LastPass zmieniło powiadomienie, aby przejść do osób, które mają dwa -faktor aktywny, jeśli próba zalogowania została podjęta z nowej lokalizacji lub urządzenia.

Cassidy twierdzi, że jego badania pokazują, że oprogramowanie musi być bardziej odporne na ataki phishingowe.

"Wiele odpowiedzi na problem phishingu jest" szkolenie użytkowników "jakby to ich wina, że ​​zostali wyłudzeni" - napisał Cassidy. "Szkolenie nie jest skuteczne w zwalczaniu LostPass, ponieważ nie ma prawie żadnej różnicy w tym, co jest pokazywane użytkownikowi."

Chociaż Cassidy napisał, że problemy są trudne do naprawienia, zdecydował się opublikować.

"Jak tylko kiedy opublikowałem szczegóły tego ataku, przestępcy mogli stworzyć własną wersję w mniej niż jeden dzień "- napisał. "Publikuję to narzędzie, aby firmy mogły przetestować się samodzielnie, aby podjąć świadomą decyzję o tym ataku i odpowiednio zareagować."

LastPass wprowadził kilka nowych mechanizmów obronnych w odpowiedzi na badania Cassidy'ego, a także planuje udostępnić dodatkowe opcje powiadomień omija widok. "

Firma zablokowała także strony internetowe przed wylogowaniem kogoś z LastPass. Nawet jeśli użytkownicy zobaczą ostrzeżenie, że są wylogowani, teoretycznie powinni zauważyć, że LastPass jest nadal zalogowany.