Sean Cassidy oppdaget nylig at den populære passord manager LastPass er utsatt for phishing-angrep som utnytter måte meldinger vises til brukere av tjenesten.
Den metoden som han beskriver på sin blogg fungerer i Google Chrome, og til en viss grad i Firefox også.
Den viktigste forskjellen mellom de to nettlesere er at falske meldinger som vises til Chrome-brukere på angrep områder ser identiske til melding-LastPass utvidelse ville vise dem, mens det ikke er tilfelle hvis Firefox blir brukt.
Så hvordan gjør phishing-angrep arbeid?
LastPass viser meldinger til brukere i nettleseren viewport til hvilke nettsteder som er åpne i nettleseren har tilgang til så vel.
skjermbilde av Sean Cassidy
En ondsinnet nettsted ville trekke LastPass varsel etter å ha sjekket at passord manager som brukes. I henhold til Cassidy, de kan selv logge av brukeren før de vises meldingen for å gjøre det ser mer ekte.
Meldingen vil be brukeren om å skrive inn sitt brukernavn og passord, og hvis det er konfigurert, to-faktor autentisering kode.
Åpenbart, informasjonen kan deretter brukes av uvedkommende å få tilgang til en brukers vault lar dem få tilgang til alle konto-informasjon, notater og andre sensitive data som er lagret i det.
Har du blitt hacket?
Kan du bekrefte kontoen tilgang på Kontoen din Historie side. Det finner du listet opp alle de siste logg ins.
Gjør følgende for å få det:
- Klikk på LastPass-Ikonet.
- Velg Min LastPass Hvelv.
- I venstre-menyen som åpnes, velger du Verktøy > Vis logg.
Hver hendelse er oppført med en dato, IP-adresse, DNS og metoden som brukes for tilgang.
Hvordan å unngå å bli hacket
LastPass er å jobbe på en løsning i henhold til Sean Cassidy som avslørte saken til selskapet det siste året.
Angrepet kan bli oppdaget enkelt likevel.
- Hvis du bruker Firefox, og få log-in-vinduet, kan du prøve å bytte til en annen kategori. Hvis dette fungerer, er det en falsk innloggingen.
- Hvis du bruker Google Chrome, som gjør at siden der du skriver legitimasjon starter med chrome-utvidelsen://
Generelt sett, kan det hende du ønsker å logge inn på LastPass nettstedet direkte, og ikke via extension. Når du er logget inn på nettstedet, logge inn blir plukket opp av utvidelsen, slik at du kan bruke sin funksjonalitet, så vel.
Nå er Du: Slik gjør du logger deg på LastPass eller andre online-passord ledere?