Как оградить себя от новой угрозы взлома LastPass
Мы используем множество онлайновых сервисов и веб-приложений, к каждому из которых в целях безопасности необходимо иметь разные логины и пароли. Держать их все в голове невозможно, поэтому большое распространение получили менеджеры паролей. Они обеспечивают надёжное хранение и удобное использование логинов и паролей не только к онлайновым сервисам, но и к платёжным системам, банковским аккаунтам и так далее. Поэтому утечка или взлом такого менеджера паролей может стать большой проблемой для очень многих пользователей.
Одним из самых популярных приложений такого рода является LastPass. Это действительно отличное решение, прошедшее проверку временем и многочисленными атаками хакеров. Однако вчера специалистом по компьютерной безопасности Шоном Кэссиди (Sean Cassidy) была обнаружена возможность для фишинговой атаки на LastPass. Он остроумно назвал её LostPass (утерянные пароли).
Если коротко, найденная уязвимость выглядит следующим образом. Сначала злоумышленник заманивает вас на свой сайт, который демонстрирует поддельное (!) уведомление о том, что ваша сессия истекла и необходимо залогиниться снова. Вы наверняка видели подобные уведомления от LastPass.
Так как уведомление поддельное, нажатие на кнопку Try Again приведёт вас на специально созданную страницу, выглядящую точно так же, как стандартная форма для ввода логина и пароля LastPass. Она даже адрес будет иметь почти такой же, какой обычно имеют служебные страницы браузера, открываемые установленными расширениями. За исключением небольшой детали, которую я выделил на скриншоте. Уверен, что большинство пользователей не обратят на подобную мелочь никакого внимания.
Далее вы вводите на этой странице свои логин и пароль для входа в LastPass, и они тут же попадают в руки к хакерам. В результате последние получают полный доступ ко всем вашим сайтам и учётным данным. Атака срабатывает даже в том случае, если у вас включена двухфакторная аутентификация, только последовательность действий хакера будет на один шаг больше. Подробнее о работе LostPass можно прочитать здесь (на английском).
Разумеется, у вас возникает вопрос, как можно защититься от этой опасности. Пока разработчики LastPass не предпримут меры по недопущению подобных фишинговых атак, пользователи могут временно отключить браузерное расширение этого сервиса. Да, это неудобно и заставит вас вручную копировать необходимые пароли с веб-страницы LastPass. Более радикальный вариант заключается в поиске равноценной альтернативы для хранения паролей и конфиденциальных данных.
А вы ещё используете LastPass или уже перешли на какой-либо другой менеджер паролей?
Лучшие предложения
Бомберы, косухи и ветровки: выбираем весеннюю куртку не дороже 5 000 рублей
Как подписка Газпром Бонус поможет отметить любой праздник и не разориться
Это нам надо: оригинальная картина по номерам от DelArt
Выгодно: смарт-часы Amazfit Cheetah Square за 19 031 рубль
Находки AliExpress: самые интересные и полезные товары
15 интересных товаров дешевле 500 рублей
10 сумок для смартфонов, с которыми гаджет всегда будет под рукой
Лучшие предложения недели: скидки от AliExpress, Aim Clo, Redmond и других магазинов
Как привить детям любовь к здоровому образу жизни: 6 советов родителям
Социальная рекламаОт рождения до совершеннолетия: какие обследования важно проходить детям в разном возрасте
Социальная рекламаЗатопленные корабли и не только: 6 проблем экологии, которые влияют на вашу жизнь больше, чем кажется
Социальная рекламаУвидеть Китай и не умереть! 4 причины посмотреть реалити «Сокровища императора»
Реклама