Как оградить себя от новой угрозы взлома LastPass
Мы используем множество онлайновых сервисов и веб-приложений, к каждому из которых в целях безопасности необходимо иметь разные логины и пароли. Держать их все в голове невозможно, поэтому большое распространение получили менеджеры паролей. Они обеспечивают надёжное хранение и удобное использование логинов и паролей не только к онлайновым сервисам, но и к платёжным системам, банковским аккаунтам и так далее. Поэтому утечка или взлом такого менеджера паролей может стать большой проблемой для очень многих пользователей.
Одним из самых популярных приложений такого рода является LastPass. Это действительно отличное решение, прошедшее проверку временем и многочисленными атаками хакеров. Однако вчера специалистом по компьютерной безопасности Шоном Кэссиди (Sean Cassidy) была обнаружена возможность для фишинговой атаки на LastPass. Он остроумно назвал её LostPass (утерянные пароли).
Если коротко, найденная уязвимость выглядит следующим образом. Сначала злоумышленник заманивает вас на свой сайт, который демонстрирует поддельное (!) уведомление о том, что ваша сессия истекла и необходимо залогиниться снова. Вы наверняка видели подобные уведомления от LastPass.
Так как уведомление поддельное, нажатие на кнопку Try Again приведёт вас на специально созданную страницу, выглядящую точно так же, как стандартная форма для ввода логина и пароля LastPass. Она даже адрес будет иметь почти такой же, какой обычно имеют служебные страницы браузера, открываемые установленными расширениями. За исключением небольшой детали, которую я выделил на скриншоте. Уверен, что большинство пользователей не обратят на подобную мелочь никакого внимания.
Далее вы вводите на этой странице свои логин и пароль для входа в LastPass, и они тут же попадают в руки к хакерам. В результате последние получают полный доступ ко всем вашим сайтам и учётным данным. Атака срабатывает даже в том случае, если у вас включена двухфакторная аутентификация, только последовательность действий хакера будет на один шаг больше. Подробнее о работе LostPass можно прочитать здесь (на английском).
Разумеется, у вас возникает вопрос, как можно защититься от этой опасности. Пока разработчики LastPass не предпримут меры по недопущению подобных фишинговых атак, пользователи могут временно отключить браузерное расширение этого сервиса. Да, это неудобно и заставит вас вручную копировать необходимые пароли с веб-страницы LastPass. Более радикальный вариант заключается в поиске равноценной альтернативы для хранения паролей и конфиденциальных данных.
А вы ещё используете LastPass или уже перешли на какой-либо другой менеджер паролей?
Лучшие предложения
Находки AliExpress: 10 пар необычных и забавных тапочек
10 питательных бальзамов и масок для губ дешевле 500 рублей
24 женские куртки российских брендов по канонам осенних трендов 2024 года
10 уютных женских костюмов на осень
Отборные скидки: выгодные предложения на инструменты, аксессуары для авто, гаджеты и зоотовары
Что купить на осень у российских брендов: 14 стильных и практичных вариантов одежды
3 находки из Fix Price, которые помогут создать дома осеннюю атмосферу
10 деревянных органайзеров на все случаи жизни
Обзор Honor MagicPad 2 — тонкого планшета с нейросетями и сочным OLED-экраном
Бизнес-подсказки для молодёжи: как превратить идею в успешный проект
В Петербурге наградили победительниц конкурса «Женщины за сохранение традиций»
Обзор TECNO POVA 6 Neo — бюджетного смартфона с батарейкой на 7 000 мА·ч