新的研究表明,简单的网络钓鱼攻击可能会损害流行的LastPass密码经理,由安全研究员Sean Cassidy于周六在Hacker Convention Shmoocon上提出。
根据卡西迪(Cassidy)的说法,黑客可以伪造用户浏览器窗口中LastPass 4.0显示的通知,以诱使他们揭示其登录凭据,甚至可以抢夺一次性密码。
在线安全公司PRAESIDIO的首席技术官CASSIDY上载了一个名为Lostpass的工具,该工具显示了攻击者如何欺骗警报LastPass,目的是获取目标的用户名和密码。
卡西迪讨论LostPass和Blog文章中攻击方法的方法,描述了LastPass是否从密码管理器中登录的用户如何提醒他们。但是,该警报是通过Internet浏览器的视口显示的,如果用户可以将用户定向到恶意网站,则可以创建相同的警报,然后由攻击者触发。
一旦使用LastPass的用户访问了部署LostPass的恶意网站,攻击者就可以将用户登录到LastPass,然后显示一个横幅,该横幅导致密码管理器的假登录页面。然后,受害者将在不知不觉中输入他们的凭据,并将其发送到攻击者的服务器,他们将通过调用LastPass的API来检查用户名和密码是否正确。
对于激活了两因素身份验证的用户,可以将它们重定向到两因素提示,以便攻击者还可以获取两因素令牌。攻击者拥有此功能和目标的用户名和密码后,所有用户的其他信息都可以通过LastPass API检索。攻击者实际上也可以执行他们想要的任何事情,例如通过紧急联系人功能在LastPass帐户中创建后门,关闭两因素身份验证,将攻击者的服务器添加为受信任的设备等等。
卡西迪指出,对网络钓鱼的许多反应都是培训用户,好像他们受到攻击是他们的错一样。这样的培训不会被证明在与诸如LostPass之类的工具作斗争中有效,因为用户看到的几乎没有区别。
卡西迪告诉了这个问题的最后一个问题,公司有陈述在一篇博客文章中,它进行了改进,以使攻击者更难实现此类技巧。
LastPass表示,通过在浏览器上扩展密码管理器,用户可以看到,尽管浏览器说它们已被登录,但仍可以登录他们。 LastPass现在还将通知用户在提交上述页面之前,他们已经在LastPass之外的页面上输入了主密码。
LastPass还将实现电子邮件验证步骤,如果未知设备或位置登录,则需要访问用户的电子邮件地址。此外,现在还需要具有两因素身份验证的用户进行以前允许跳过的验证过程。
此外,现在将发出警告,以重复使用其他网站上用户的主密码,并且开发人员正在对LastPass进行通知,以绕过浏览器的视口,以消除通过网络钓鱼攻击折衷的机会。
