警惕针对LastPass密码管理器的钓鱼攻击:LostPass

  • A+
所属分类:信息安全

随着互联网的发展,我们注册的账号也越来越多,为了管理账号密码,越来越多的用户开始使用密码管理软件。其中LastPass就是一款优秀的跨平台密码管理软件。但是近日国外研究人员发现了一种针对LastPass进行钓鱼攻击的行为,并将这一攻击行为命名为LostPass。

LostPass钓鱼攻击步骤如下:

在钓鱼网站预置LostPass.js钓鱼攻击脚本,当用户打开此钓鱼网站且安装了LastPass时,LostPass.js钓鱼攻击脚本会模拟LastPass插件在网页顶部显示“Your LastPass session appears to have expired. Please re-login.”(与LastPass官方插件提示一模一样)。

警惕针对LastPass密码管理器的钓鱼攻击:LostPass

当用户点击Try Again后会进入一个模拟Chrome浏览器扩展程序管理页面的钓鱼网站。正确的Chrome浏览器扩展程序管理页面的地址为“chrome-extension://...",而恶意的LostPass使用的是”chrome-extension.pw/:/“.

警惕针对LastPass密码管理器的钓鱼攻击:LostPass

当你在LostPass钓鱼网站输入你的LastPass用户名(Email)及密码后,LostPass钓鱼网站会在后台通过LastPass API校验你的Email及密码。如你的LastPass账户开启了两步验证,钓鱼网站还会要求你输入两步验证码,再次通过LastPass API进行认证。

警惕针对LastPass密码管理器的钓鱼攻击:LostPass

一旦恶意攻击者通过LostPass钓鱼网站获取了你LastPass账户名(Email)、密码及两步认证信息后,将会通过LastPass API下载你保存在LastPass账户的所有用户名及密码。同时恶意攻击者还可以通过LastPass API修改你的紧急联系信息或者禁用掉两部验证,以便后续继续获取你存储在LastPass中的账户密码信息。

从以上LostPass攻击步骤可以看出,即使是开启了两步验证,LastPass账户也有可能受到攻击。这就要求Lastpass尽快完善插件的登陆校验及通知提示流程,确保后续不再被不法分子利用。同时也要求LastPass用户警惕网站弹出的通知警告信息,能通过对网址的比对,判断出来是否进入了钓鱼网站。

如你已对LastPass失望,建议你使用开源且免费的KeePass。堕落的鱼一直都在使用KeePass来保存我的账户信息,KeePass数据库文件由我自己保管,确保了数据无法被第三方获取。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: