LastPass已采取措施阻止網(wǎng)頁(yè)釣魚攻擊
責(zé)編:mhshi |2016-01-19 11:00:28安全研究員Sean Cassidy最近發(fā)現(xiàn)有針對(duì)熱門密碼管理器LastPass的釣魚攻擊,而這件事也已經(jīng)引起了后者的注意。為了幫助減輕被釣魚的風(fēng)險(xiǎn),LastPass決定增加額外的步驟。
Cassidy所說的“LostPass攻擊”,是指在瀏覽器上顯示的LastPass信息很容易偽造,在將受害者引誘至一個(gè)精心編造的惡意站點(diǎn)后,終端用戶很難分辨它們的真假。
如果用于已經(jīng)安裝了LastPass,那么攻擊者就會(huì)偽造一個(gè)登錄過期的通知,欺騙用戶需要重登陸。然后,它只需要靜靜等待用戶輸入登錄憑證。即使用戶設(shè)置了2步口令,也是如此照搬一遍。
在獲取了用戶的登錄憑證之后,攻擊者會(huì)竊取用戶的所有其它密碼,甚至在賬戶中安裝一個(gè)后門(通過緊急聯(lián)絡(luò)功能)、或者禁用兩步驗(yàn)證等。
在后續(xù)的文章中,LastPass表示已采取措施阻止惡意頁(yè)面將用戶踢出該密碼管理器的登陸狀態(tài)。
如此一來,即使惡意頁(yè)面忽悠用戶已登出,但在快速檢查瀏覽器工具欄上的LastPass擴(kuò)展之后,你就會(huì)知道自己其實(shí)并未登出。
此外,當(dāng)用戶忽略這一重要信息,并在非LastPass頁(yè)面上輸入主密碼的時(shí)候,管理器就會(huì)彈出一個(gè)警示。
最后,即使攻擊者仍然成功騙取到了LastPass的主密碼,也是很難繞過該密碼管理服務(wù)的電子郵件認(rèn)證系統(tǒng)的(在未知設(shè)備或地點(diǎn)登錄的時(shí)候,是需要用戶授權(quán)的)。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧