安全研究員Sean Cassidy最近發現有針對熱門密碼管理器LastPass的釣魚攻擊,而這件事也已經引起了后者的注意。為了幫助減輕被釣魚的風險,LastPass決定增加額外的步驟。Cassidy所說的“LostPass攻擊”,是指在瀏覽器上顯示的LastPass信息很容易偽造,在將受害者引誘至一個精心編造的惡意站點后,終端用戶很難分辨它們的真假。
如果用于已經安裝了LastPass,那么攻擊者就會偽造一個登錄過期的通知,欺騙用戶需要重登陸。然后,它只需要靜靜等待用戶輸入登錄憑證。即使用戶設置了2步口令,也是如此照搬一遍。
在獲取了用戶的登錄憑證之后,攻擊者會竊取用戶的所有其它密碼,甚至在賬戶中安裝一個后門(通過緊急聯絡功能)、或者禁用兩步驗證等。
在后續的文章中,LastPass表示已采取措施阻止惡意頁面將用戶踢出該密碼管理器的登陸狀態。
如此一來,即使惡意頁面忽悠用戶已登出,但在快速檢查瀏覽器工具欄上的LastPass擴展之后,你就會知道自己其實并未登出。
此外,當用戶忽略這一重要信息,并在非LastPass頁面上輸入主密碼的時候,管理器就會彈出一個警示。
最后,即使攻擊者仍然成功騙取到了LastPass的主密碼,也是很難繞過該密碼管理服務的電子郵件認證系統的(在未知設備或地點登錄的時候,是需要用戶授權的)。
京公網安備 11010502049343號