Otkriven propust u LastPass koji omogućava fišing napade i krađu lozinki korisnika
Vesti, 19.01.2016, 01:30 AM
Istraživač Šon Kasidi otkrio je metod za napad na servis za upravljanje lozinkama LastPass koji omogućava napadačima da na relativno lak način dođu do master lozinki korisnika servisa.
Kasidi je otkrio da kad god sesije LastPass servisa isteknu dok korisnik pretražuje web, LastPass to prikazuje koristeći obaveštenja ubačena u sadržaj stranice. Zatim se stranica za prijavljivanje i dvofaktorni kod za autentifikaviju, ako je omogućena, takođe prikazuju na isti način.
Sa aspekta bezbednosti, ovo je loše rešenje, jer izlaže korisnike web injection napadima, kakve viđamo u fišing napadima na korisnike sajtova banaka.
Kasidi je razvio alat, koji je objavio na GitHub, nazvan LostPass, koji može omogućiti automatizovani jednostavan fišing napad na korisnike LastPass servisa i krađu njihovih master lozinki.
Sve što napadači treba da urade je da preusmere korisnike na legitiman web sajt koji je podložan XSS (cross-site scripting) napadima.
Na takvim legitimnim, ali ranjivim web sajtovima, alat LostPass bi koristio XSS propust da otkrije da li korisnik ima LastPass instaliran na računaru, da ga odjavi i da onda ubaci obaveštenje tražeći od korisnika da se ponovo prijavi na nalog.
Kada korisnik klikne na ovo obaveštenje, pojaviće se LastPass stranica za prijavljivanje, a kada korisnik unese svoje podatke, oni će se naći u rukama napadača.
Napadači čak mogu da provere da li su ove lozinke ispravne, i da zatraže od korisnika kod za dvofaktornu autentifikaciju ako je ona uključena.
Kasidi kaže da njegov alat LostPass radi samo sa Chromeom, jer Firefox i drugi browseri prikazuju LastPass stranicu za prijavljivanje u iskačućim prozorima browsera.
LostPass je testiran sa najnovijim verzijama LastPassa (4.x).
Kasidi je o ovome obavestio LastPass još prošlog novembra, ali je kompanija odgovorila da je to fišing napad, a ne propust u LastPass. LastPass je pokušao da reši problem upozoravajući korisnike kada kucaju master lozinku na web sajtu. Međutim, Kasidi kaže da je ovo besmisleno jer napadači mogu da presretnu upozorenje i onemoguće ga.
Da bi izbegli ovakve probleme, Kasidi preporučuje korisnicima da nikada ne unose LastPass kredencijale u browser, i da za ponovno prijavljivanje koriste glavnu aplikaciju.
Kasidi kaže i da je bolje uključiti IP restrikciju za verziju LastPassa koja se plaća nego koristiti dvofaktornu autentifikaciju. Pored toga, korisnici mogu da isključe prijavljivanje sa mobilnih uređaja.
Izdvojeno
Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara
Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje
Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima
Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje
Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova
Hiljade lažnih onlajn apoteka koje prodaju kopije lekova širom sveta, uključujući i kopije popularnog Ozempica, leka za lečenje dijabetesa tipa ... Dalje
Rusija i Ukrajina na vrhu prvog svetskog indeksa sajber kriminala
Časopis PLOS ONE objavio je 10. aprila naučni rad pod nazivom „Mapiranje globalne geografije sajber kriminala sa svetskim indeksom sajber krim... Dalje
Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju
LastPass je objavio da su prevaranti pokušali da prevare jednog od zaposlenih u kompaniji koristeći lažnu glasovnu poruku izvršnog direktora Last... Dalje
Pratite nas
Nagrade