Как оградить себя от новой угрозы взлома LastPass

Дмитрий Горчаков

Вчера был обнаружен реальный способ кражи данных из популярного менеджера паролей LastPass. Рекомендуем вам прочитать эту статью, чтобы не попасться на удочку.

Chaliya/Shutterstock.com

Chaliya/Shutterstock.com

Мы используем множество онлайновых сервисов и веб-приложений, к каждому из которых в целях безопасности необходимо иметь разные логины и пароли. Держать их все в голове невозможно, поэтому большое распространение получили менеджеры паролей. Они обеспечивают надёжное хранение и удобное использование логинов и паролей не только к онлайновым сервисам, но и к платёжным системам, банковским аккаунтам и так далее. Поэтому утечка или взлом такого менеджера паролей может стать большой проблемой для очень многих пользователей.

Одним из самых популярных приложений такого рода является LastPass. Это действительно отличное решение, прошедшее проверку временем и многочисленными атаками хакеров. Однако вчера специалистом по компьютерной безопасности Шоном Кэссиди (Sean Cassidy) была обнаружена возможность для фишинговой атаки на LastPass. Он остроумно назвал её LostPass (утерянные пароли).

Если коротко, найденная уязвимость выглядит следующим образом. Сначала злоумышленник заманивает вас на свой сайт, который демонстрирует поддельное (!) уведомление о том, что ваша сессия истекла и необходимо залогиниться снова. Вы наверняка видели подобные уведомления от LastPass.

LastPass просит залогиниться снова

Так как уведомление поддельное, нажатие на кнопку Try Again приведёт вас на специально созданную страницу, выглядящую точно так же, как стандартная форма для ввода логина и пароля LastPass. Она даже адрес будет иметь почти такой же, какой обычно имеют служебные страницы браузера, открываемые установленными расширениями. За исключением небольшой детали, которую я выделил на скриншоте. Уверен, что большинство пользователей не обратят на подобную мелочь никакого внимания.

Поддельная страница LastPass

Далее вы вводите на этой странице свои логин и пароль для входа в LastPass, и они тут же попадают в руки к хакерам. В результате последние получают полный доступ ко всем вашим сайтам и учётным данным. Атака срабатывает даже в том случае, если у вас включена двухфакторная аутентификация, только последовательность действий хакера будет на один шаг больше. Подробнее о работе LostPass можно прочитать здесь (на английском).

Разумеется, у вас возникает вопрос, как можно защититься от этой опасности. Пока разработчики LastPass не предпримут меры по недопущению подобных фишинговых атак, пользователи могут временно отключить браузерное расширение этого сервиса. Да, это неудобно и заставит вас вручную копировать необходимые пароли с веб-страницы LastPass. Более радикальный вариант заключается в поиске равноценной альтернативы для хранения паролей и конфиденциальных данных.

А вы ещё используете LastPass или уже перешли на какой-либо другой менеджер паролей?

Axel Prince
2016-01-17 15:55:46
Хороший метод "защиты" от фишинга :D И "новая угроза" тоже смешно смотрится в заголовке) После прочтения заметки (если уж собственная внимательность к деталям подводит) надо страдать амнезией, чтоб попасться на это, зачем отключать расширение?!
Nikolay
2016-01-17 16:25:27
Нда… а порекомендовать посетителям Лайфхакера использовать двухфакторную авторизацию, как понимаю, религия не позволяет? Ну что за дичь, ребята.
Андрей Любимов
2016-01-17 16:33:34
Пользоваться KeePassX
Сергей Расторгуев
2016-01-17 16:37:50
Как пользовался, так и буду, у вас уже паранойя
Alexandr Al
2016-01-17 16:37:51
KeePass (как и другие альтернативы) ни в какое сравнение по удобству использования с Lastpass не идет. Очевидно, что именно поэтому на него меньше фишинговых атак. В данном случае важно то, что нужно обратить внимание на "поддельное (!) уведомление о том, что ваша сессия истекла и необходимо залогиниться снова" Т.е. это никакой ни "взлом", а банальная кража пароля, которая возможна для любого сайта и сервиса
desheli desheli
2016-01-17 17:27:23
Правельнее назвать - как ввести в заблуждение и украсть пароль. Такой метод возможен для всего если пользователь не внимательный LastPass не причем
Дмитрий Горчаков
Дмитрий Горчаков
2016-01-17 17:50:53
У многих пользователей ввод пароля LastPass доведён до автоматизма и происходит в «бессознательном» состоянии. Другие просто не понимают о чём это всё. Именно им лучше просто пока отключить расширение. Всем остальным — внимательно всматриваться в адрес при аутентификации.
Дмитрий Горчаков
Дмитрий Горчаков
2016-01-17 17:55:25
Прежде, чем писать свой замечательный комментарий, прочитайте внимательно: «Атака срабатывает даже в том случае, если у вас включена двухфакторная аутентификация, только последовательность действий хакера будет на один шаг больше.» Если на русском не понятно, то вот из первоисточника: If the user has two-factor authentication, redirect them to a two-factor prompt, like so:
Дмитрий Горчаков
Дмитрий Горчаков
2016-01-17 18:00:33
Тут наблюдается фишинговая атака, которая начинается с поддельного уведомления о том, что сессия истекла. Но создание этого поддельного уведомления возможно благодаря наличию в LastPass уязвимости CSRF (Сross Site Request Forgery). Это указано в подробном описании LostPass, на который есть ссылка в статье. Но вам же некогда спокойно почитать. Вам же нужно быстро комментарий написать и бежать дальше :) «If they have LastPass installed, show the login expired notification and log the user out of LastPass. LastPass is vulnerable to a logout CSRF, so any website can log any user out of LastPass. This will make it appear to the user that they are truly logged out.»
Dmitrii Braga
2016-01-17 18:02:12
thx za info. tak kak u menea stoit galochka na "remember email" - dumaiu na fishingovii saite emeila moego ne budet, tak i uznaiu chto problema...
Дмитрий Горчаков
Дмитрий Горчаков
2016-01-17 18:10:09
Не совсем так. Данный трюк работает потому, что расширение LastPass выводит свои уведомления прямо в браузере и их легко подделать.
Джо Неуловимый
2016-01-17 19:11:50
Не пользовался и не буду! Да, у меня параноя.
Илья Рубинчик
2016-01-17 20:04:00
1Password лучший. Там внешнее приложение и такого рода атака невозможна. Заодно пароль в ненужные облака не утекают.
Александр Ефимович
2016-01-18 01:14:42
Дмитрий, спасибо вам за извещения! Буду внимательнее впредь. Но вопрос всё равно есть, но не к вам, а вообще: как злоумышленник пройдёт двухфакторную авторизацию?! Даже если остановившись на этом шаге и выбрав "Потерял устройство Goggle Authenticator", LastPass отошлёт линк восстановления (действующий 2 часа) на емейл. То есть надо ещё ломануть емейл... и это весьма не просто "ещё один шаг", это задачка дай боже. К тому же возможно возвратить доступ с помощью СМС-сообщения, если привязан мобильник. А ещё можно сделать доверенные устройства и в разделе "Multifactor Options" увеличить количество авторизационных сервисов =) В общем, бдеть стоит, но паниковать не нужно =)
Nikolay
2016-01-18 02:02:26
Через Ctrl + F я ничего не находил по слову «двухфакторная», поэтому и оставил свой комментарий.
Дмитрий Горчаков
Дмитрий Горчаков
2016-01-18 11:54:34
Читатель 80 лвл. Читает статьи, ища знакомые слова через форму поиска. Я в шоке.
Дмитрий Горчаков
Дмитрий Горчаков
2016-01-18 11:57:58
Sean Cassidy (человек, описавший эту уязвимость) пишет, что с двухфакторной авторизацией процесс даже облегчается: «In fact, two-factor authentication makes this attack significantly easier.» И рассказывает почему именно так — https://tldrify.com/e7e
Алексей Пономарь
Алексей Пономарь
2016-01-18 12:11:47
Это норма, к сожалению.
Nikolay
2016-01-18 12:38:55
Я отношу себя к тебе, кто сразу понимает, что в любой статье, написанной на Лайфхакере, по умолчанию может быть какой-то подвох. Увидев такой кричущий заголовок, я первым делом нажал Ctrl + F и искал по ключевому слову «двухфакторная», не обнаружив его я бегло прочитал содержимое и понял, что статья для меня не интересная, т. к. помимо ввода логина и пароля есть ещё один этап, о котором изначально упомянуто не было. Именно это и имелось в виду, но вам же нужно сразу написать по «лвл» читателя, о великий писатель. Если по сути статьи, то я всё же соглашусь, что она обязательна для всех , кто использует LastPass.
blogman800
2016-01-18 14:35:23
Статья полезная. Действительно, я ввел бы пароль и не задумался, как делаю это каждое утро, "на автомате", включая Chrome. Думаю, лучше всего, при появлении подобных запросов проверить расширение LastPass щелкнув по его значку, и если нужно, ввести пароль в его окне.
Александр Ефимович
2016-01-18 17:41:24
Внезапно :) Ещё раз благодарю. Поставил в довесок к двухфакторке ещё Сетку на вход. А вы не рассматривали, случайно, ещё другие системы для авторизации? Там: Toopher, Duo Security, Transakt, тот же Grid/Сетка, YubiKey, Sesame. Очень интересует ваше мнение, стоит ли заморачиваться с ними, чтобы привязать к ластпассу?!
Дмитрий Горчаков
Дмитрий Горчаков
2016-01-18 21:13:30
К сожалению, ничего не могу вам сказать по этому поводу. Слишком глубоко закапываться в этот вопрос нет времени, увы.