Jak se chránit proti novým hrozbám hackerů LastPass
Webové Služby Prohlížeče / / December 19, 2019
Včera, skutečný způsob, jak krást data byla zjištěna od oblíbeného správce hesel LastPass. Doporučujeme, abyste si přečetli tento článek, aby nedošlo k pádu na návnadu.
Používáme celou řadu on-line služeb a webových aplikací, z nichž každá je nutné z bezpečnostních důvodů mít různá uživatelská jména a hesla. Udržovat je všechny ve své hlavě, je nemožné, tolik rozšířený software pro správu hesel. Ty umožňují bezpečné ukládání a snadné používání uživatelských jmen a hesel nejen pro on-line služeb, ale také na platební systémy, bankovní účty a tak dále. Z tohoto důvodu úniku nebo hacking správci hesel může být velký problém pro mnoho uživatelů.
Jeden z nejvíce populárních aplikací tohoto druhu je LastPass. Je to opravdu je výborným řešením, která prošla zkouškou času a četné útoky hackerů. Včera však odborník na počítačové bezpečnosti Shaun Cassidy (Sean Cassidy) bylo zjištěno možné phishingové útoky na LastPass. On vtipně nazval LostPass (ztracené hesla).
Stručně řečeno, našel takto ke zranitelnosti. První útočník vás láká na stránky, které vitríny
padělek (!) Samostatné oznámení, že vaše relace vypršela a je nutné znovu přihlásit. Asi jste viděli tyto e-maily od LastPass.Vzhledem k oznámení falešné, klikněte na Try tlačítko znovu vás vezme na speciálně vytvořenou stránku, která vypadá stejně jako standardní formulář pro zadání přihlašovací jméno a heslo LastPass. Dokonce adresa bude téměř stejný, které obvykle mají oficiální stránky prohlížeče otevřené podle nainstalovaných rozšíření. Až na malý detail, který jsem zvýrazněnou na snímku. Jsem si jist, že většina uživatelů nevěnují pozornost na takové maličkosti žádnou pozornost.
Dále zadáte na této stránce, své uživatelské jméno a heslo pro přihlášení do LastPass a okamžitě dostane do rukou hackerů. Výsledkem je, že druhý obdrží plný přístup ke všem svým lokalit a údajů z účtu. Útok funguje, i když jste povolili dvoufaktorovou autentizaci, pouze posloupnost akcí hacker bude ještě jeden krok. Další podrobnosti o činnosti lze číst LostPass zde (V angličtině).
Samozřejmě, že máte otázku, jak se chránit před tímto nebezpečím. Zatímco vývojáři LastPass neberou opatření k zabránění takového phishing, mohou uživatelé dočasně zakázat rozšíření prohlížeče na bázi této služby. Ano, je to nepříjemné a budete muset ručně zkopírovat vaše hesla s webovou stránku LastPass. Více radikální možností by bylo najít ekvivalent alternativy k ukládání hesel a citlivých dat.
Myslíte si stále používat LastPass nebo již přešli k jinému správci hesel?