Как оградить себя от новой угрозы взлома LastPass
Мы используем множество онлайновых сервисов и веб-приложений, к каждому из которых в целях безопасности необходимо иметь разные логины и пароли. Держать их все в голове невозможно, поэтому большое распространение получили менеджеры паролей. Они обеспечивают надёжное хранение и удобное использование логинов и паролей не только к онлайновым сервисам, но и к платёжным системам, банковским аккаунтам и так далее. Поэтому утечка или взлом такого менеджера паролей может стать большой проблемой для очень многих пользователей.
Одним из самых популярных приложений такого рода является LastPass. Это действительно отличное решение, прошедшее проверку временем и многочисленными атаками хакеров. Однако вчера специалистом по компьютерной безопасности Шоном Кэссиди (Sean Cassidy) была обнаружена возможность для фишинговой атаки на LastPass. Он остроумно назвал её LostPass (утерянные пароли).
Если коротко, найденная уязвимость выглядит следующим образом. Сначала злоумышленник заманивает вас на свой сайт, который демонстрирует поддельное (!) уведомление о том, что ваша сессия истекла и необходимо залогиниться снова. Вы наверняка видели подобные уведомления от LastPass.
Так как уведомление поддельное, нажатие на кнопку Try Again приведёт вас на специально созданную страницу, выглядящую точно так же, как стандартная форма для ввода логина и пароля LastPass. Она даже адрес будет иметь почти такой же, какой обычно имеют служебные страницы браузера, открываемые установленными расширениями. За исключением небольшой детали, которую я выделил на скриншоте. Уверен, что большинство пользователей не обратят на подобную мелочь никакого внимания.
Далее вы вводите на этой странице свои логин и пароль для входа в LastPass, и они тут же попадают в руки к хакерам. В результате последние получают полный доступ ко всем вашим сайтам и учётным данным. Атака срабатывает даже в том случае, если у вас включена двухфакторная аутентификация, только последовательность действий хакера будет на один шаг больше. Подробнее о работе LostPass можно прочитать здесь (на английском).
Разумеется, у вас возникает вопрос, как можно защититься от этой опасности. Пока разработчики LastPass не предпримут меры по недопущению подобных фишинговых атак, пользователи могут временно отключить браузерное расширение этого сервиса. Да, это неудобно и заставит вас вручную копировать необходимые пароли с веб-страницы LastPass. Более радикальный вариант заключается в поиске равноценной альтернативы для хранения паролей и конфиденциальных данных.
А вы ещё используете LastPass или уже перешли на какой-либо другой менеджер паролей?
Лучшие предложения
Список покупок: 10 стильных украшений с AliExpress не дороже 500 рублей
Распродажа «Дни выгоды» на AliExpress: 12 товаров с отличными скидками
Находки AliExpress: 10 товаров, которые можно купить в подарок на Новый год
10 мультитулов дешевле 500 рублей, которые выручат в любой ситуации
10 товаров с «Яндекс Маркета», которые помогут провести зиму с комфортом
Отборные скидки: выгодные предложения от AliExpress, «Золотого яблока» и других магазинов
10 органайзеров WiWU на все случаи жизни
10 трендовых курток дешевле 5 000 рублей
Как оплачивать проезд при помощи «Тройки» и получать за это кешбэк
РекламаНе просто смена настроения. Что такое биполярное расстройство и как его распознать
Почему хочется есть ночью и что с этим делать
Как сделать микроклимат в доме безопасным для ребёнка: 4 совета родителям