Как оградить себя от новой угрозы взлома LastPass
Мы используем множество онлайновых сервисов и веб-приложений, к каждому из которых в целях безопасности необходимо иметь разные логины и пароли. Держать их все в голове невозможно, поэтому большое распространение получили менеджеры паролей. Они обеспечивают надёжное хранение и удобное использование логинов и паролей не только к онлайновым сервисам, но и к платёжным системам, банковским аккаунтам и так далее. Поэтому утечка или взлом такого менеджера паролей может стать большой проблемой для очень многих пользователей.
Одним из самых популярных приложений такого рода является LastPass. Это действительно отличное решение, прошедшее проверку временем и многочисленными атаками хакеров. Однако вчера специалистом по компьютерной безопасности Шоном Кэссиди (Sean Cassidy) была обнаружена возможность для фишинговой атаки на LastPass. Он остроумно назвал её LostPass (утерянные пароли).
Если коротко, найденная уязвимость выглядит следующим образом. Сначала злоумышленник заманивает вас на свой сайт, который демонстрирует поддельное (!) уведомление о том, что ваша сессия истекла и необходимо залогиниться снова. Вы наверняка видели подобные уведомления от LastPass.
Так как уведомление поддельное, нажатие на кнопку Try Again приведёт вас на специально созданную страницу, выглядящую точно так же, как стандартная форма для ввода логина и пароля LastPass. Она даже адрес будет иметь почти такой же, какой обычно имеют служебные страницы браузера, открываемые установленными расширениями. За исключением небольшой детали, которую я выделил на скриншоте. Уверен, что большинство пользователей не обратят на подобную мелочь никакого внимания.
Далее вы вводите на этой странице свои логин и пароль для входа в LastPass, и они тут же попадают в руки к хакерам. В результате последние получают полный доступ ко всем вашим сайтам и учётным данным. Атака срабатывает даже в том случае, если у вас включена двухфакторная аутентификация, только последовательность действий хакера будет на один шаг больше. Подробнее о работе LostPass можно прочитать здесь (на английском).
Разумеется, у вас возникает вопрос, как можно защититься от этой опасности. Пока разработчики LastPass не предпримут меры по недопущению подобных фишинговых атак, пользователи могут временно отключить браузерное расширение этого сервиса. Да, это неудобно и заставит вас вручную копировать необходимые пароли с веб-страницы LastPass. Более радикальный вариант заключается в поиске равноценной альтернативы для хранения паролей и конфиденциальных данных.
А вы ещё используете LastPass или уже перешли на какой-либо другой менеджер паролей?
Лучшие предложения
Лучшие предложения недели: скидки от AliExpress, Lamoda, GATE31 и других магазинов
10 стеллажей, которые помогут навести порядок где угодно
Бомберы, косухи и ветровки: выбираем весеннюю куртку не дороже 5 000 рублей
Как подписка Газпром Бонус поможет отметить любой праздник и не разориться
Это нам надо: оригинальная картина по номерам от DelArt
Выгодно: смарт-часы Amazfit Cheetah Square за 19 031 рубль
Находки AliExpress: самые интересные и полезные товары
15 интересных товаров дешевле 500 рублей
От рождения до совершеннолетия: какие обследования важно проходить детям в разном возрасте
Социальная рекламаУвидеть Китай и не умереть! 4 причины посмотреть реалити «Сокровища императора»
РекламаКак защитить близких от угроз в Сети: 7 шагов, которые можете предпринять лично вы
РекламаКак привить детям любовь к здоровому образу жизни: 6 советов родителям
Социальная реклама