Мы используем множество онлайновых сервисов и веб-приложений, к каждому из которых в целях безопасности необходимо иметь разные логины и пароли. Держать их все в голове невозможно, поэтому большое распространение получили менеджеры паролей. Они обеспечивают надёжное хранение и удобное использование логинов и паролей не только к онлайновым сервисам, но и к платёжным системам, банковским аккаунтам и так далее. Поэтому утечка или взлом такого менеджера паролей может стать большой проблемой для очень многих пользователей.

Одним из самых популярных приложений такого рода является LastPass. Это действительно отличное решение, прошедшее проверку временем и многочисленными атаками хакеров. Однако вчера специалистом по компьютерной безопасности Шоном Кэссиди (Sean Cassidy) была обнаружена возможность для фишинговой атаки на LastPass. Он остроумно назвал её LostPass (утерянные пароли).

Если коротко, найденная уязвимость выглядит следующим образом. Сначала злоумышленник заманивает вас на свой сайт, который демонстрирует поддельное (!) уведомление о том, что ваша сессия истекла и необходимо залогиниться снова. Вы наверняка видели подобные уведомления от LastPass.

LastPass просит залогиниться снова

Так как уведомление поддельное, нажатие на кнопку Try Again приведёт вас на специально созданную страницу, выглядящую точно так же, как стандартная форма для ввода логина и пароля LastPass. Она даже адрес будет иметь почти такой же, какой обычно имеют служебные страницы браузера, открываемые установленными расширениями. За исключением небольшой детали, которую я выделил на скриншоте. Уверен, что большинство пользователей не обратят на подобную мелочь никакого внимания.

Поддельная страница LastPass

Далее вы вводите на этой странице свои логин и пароль для входа в LastPass, и они тут же попадают в руки к хакерам. В результате последние получают полный доступ ко всем вашим сайтам и учётным данным. Атака срабатывает даже в том случае, если у вас включена двухфакторная аутентификация, только последовательность действий хакера будет на один шаг больше. Подробнее о работе LostPass можно прочитать здесь (на английском).

Разумеется, у вас возникает вопрос, как можно защититься от этой опасности. Пока разработчики LastPass не предпримут меры по недопущению подобных фишинговых атак, пользователи могут временно отключить браузерное расширение этого сервиса. Да, это неудобно и заставит вас вручную копировать необходимые пароли с веб-страницы LastPass. Более радикальный вариант заключается в поиске равноценной альтернативы для хранения паролей и конфиденциальных данных.

А вы ещё используете LastPass или уже перешли на какой-либо другой менеджер паролей?