新的研究表明,簡單的網絡釣魚攻擊可能會損害流行的LastPass密碼經理,由安全研究員Sean Cassidy於週六在Hacker Convention Shmoocon上提出。
根據卡西迪(Cassidy)的說法,黑客可以偽造用戶瀏覽器窗口中LastPass 4.0顯示的通知,以誘使他們揭示其登錄憑據,甚至可以搶奪一次性密碼。
在線安全公司PRAESIDIO的首席技術官CASSIDY上載了一個名為Lostpass的工具,該工具顯示了攻擊者如何欺騙警報LastPass,目的是獲取目標的用戶名和密碼。
卡西迪討論LostPass和Blog文章中攻擊方法的方法,描述了LastPass是否從密碼管理器中登錄的用戶如何提醒他們。但是,該警報是通過Internet瀏覽器的視口顯示的,如果用戶可以將用戶定向到惡意網站,則可以創建相同的警報,然後由攻擊者觸發。
一旦使用LastPass的用戶訪問了部署LostPass的惡意網站,攻擊者就可以將用戶登錄到LastPass,然後顯示一個橫幅,該橫幅導緻密碼管理器的假登錄頁面。然後,受害者將在不知不覺中輸入他們的憑據,並將其發送到攻擊者的服務器,他們將通過調用LastPass的API來檢查用戶名和密碼是否正確。
對於激活了兩因素身份驗證的用戶,可以將它們重定向到兩因素提示,以便攻擊者還可以獲取兩因素令牌。攻擊者擁有此功能和目標的用戶名和密碼後,所有用戶的其他信息都可以通過LastPass API檢索。攻擊者實際上也可以執行他們想要的任何事情,例如通過緊急聯繫人功能在LastPass帳戶中創建後門,關閉兩因素身份驗證,將攻擊者的服務器添加為受信任的設備等等。
卡西迪指出,對網絡釣魚的許多反應都是培訓用戶,好像他們受到攻擊是他們的錯一樣。這樣的培訓不會被證明在與諸如LostPass之類的工具作鬥爭中有效,因為用戶看到的幾乎沒有區別。
卡西迪告訴了這個問題的最後一個問題,公司有陳述在一篇博客文章中,它進行了改進,以使攻擊者更難實現此類技巧。
LastPass表示,通過在瀏覽器上擴展密碼管理器,用戶可以看到,儘管瀏覽器說它們已被登錄,但仍可以登錄他們。 LastPass現在還將通知用戶在提交上述頁面之前,他們已經在LastPass之外的頁面上輸入了主密碼。
LastPass還將實現電子郵件驗證步驟,如果未知設備或位置登錄,則需要訪問用戶的電子郵件地址。此外,現在還需要具有兩因素身份驗證的用戶進行以前允許跳過的驗證過程。
此外,現在將發出警告,以重複使用其他網站上用戶的主密碼,並且開發人員正在對LastPass進行通知,以繞過瀏覽器的視口,以消除通過網絡釣魚攻擊折衷的機會。
