一种新的网络钓鱼攻击可绕过LastPass安全验证

阅读量103398

|

发布时间 : 2016-01-19 14:55:49

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:https://www.hackread.com/bypassing-lastpasss-security-phishing-attack/

译文仅供参考,具体内容表达以及含义原文为准。

t01bab40a8fb85a875c.jpg

LastPass,一个优秀的在线密码管理器和页面过滤器,采用了强大的加密算法,使用户在浏览网页时,更加轻松和安全。但最近却被爆出,LastPass中存在着严重的漏洞,该漏洞会泄漏用户的账户信息。

近期,一名叫Sean Cassidy的安全研究员,发明了一种新的网络钓鱼攻击方式。该攻击有趣的地方就在于,它不仅像传统的攻击方式那样,利用了软件的漏洞,还在其中融入社会工程学的内容。按照Cassidy的描述,我们可以看到,这种攻击方式有点将以上两者玩弄于鼓掌之间的意味。Sean Cassidy,指出,通过这种网络攻击,可以使得一封简单的电子邮件绕过用户的安全防护,比如:双重认证措施。

根据Cassidy的说法,这种攻击会骗取用户在LastPass上使用的主密码,以及用户在浏览器对话框中使用的身份验证码(双重验证:主密码+身份验证码)。

t0199f8599294f73c2d.gif

若用户一旦访问了运行着java脚本的恶意网站,就自动运行了其中的攻击代码。用户在浏览器上会看一个对话框,提示:该用户已经退出,请重新登录。这种提示信息和LassPass网站上出现的提示信息没什么区别,很容易就会误导用户。若用户采用的是双重认证方式,它就会让用户在提交主密码的同时,也要提交身份验证码。黑客一旦拿到这两个密码,他们就可以进入用户在LastPass的数据库,盗取所有数据。

Cassidy解释了为什么LastPass容易受到CSRF的攻击,(CSRF:croos-site request forgery,跨站请求伪造攻击,黑客使用CSRF,能轻易地迫使用户的浏览器发送隐藏的HTTP请求,例如,欺诈的网络传输请求,这可以改变用户的密码以及下载恶意文件。)同时,他也对类似LastPass的软件的工作原理作出了解释。这类软件是基于浏览器的密码管理器,在云中存储用户密码。“这种存储方式比起用户用自己的设备存储,危险性要高很多。”Cassidy说道。而另一个漏洞是,像LastPass类似的运营商,他们在存储用户密码的同时,还会将密码进行备份,这实在是一个愚蠢的举动。对于用户来说:一方面,这种服务确实很便捷;而另一方面,它就给黑客制造了机会,来窃取用户的数据备份。

早在去年11月,Cassidy就指出了这些漏洞。同时,LastPass公司也作出相关说明,会和他一起来修复这些漏洞。但后来,该公司的态度却发生了一百八十度的改变,表示LastPass本身没有问题,而是黑客的钓鱼攻击,才导致了漏洞的出现,与他们公司无关。

随后,该公司迅速更新了LastPass,防止用户的账户信息被恶意注销,并且改进了安全防护措施。以防用户在其他恶意软件上,输入了自己的主密码,公司能够及时地通知用户,进行密码保护。

Cassidy坚称,遇到攻击时,LastPass发出的这种安全警报,黑客通过他们控制的网站就可以检测到。他们可以终止服务器的运行,切断这种数据防护。“在进行数据安全防护时,如何把网络钓鱼攻击和远程代码执行漏洞两者区分开,这是极其重要的”他强调说。

“黑客们可能会采用不同的方式实施攻击,但他们的最终目的只有一个:盗取用户数据。因此,我们要更好地致力于用户数据的安全维护。某些时候,为了确保数据安全,要敢于放弃自己公司的利益。”

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
ResoLuT1On
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66