Phishing-angreb kan snuppe login til password-manager

Login-dialogen i Password-administratoren LastPass kan simuleres så nøje, at brugeren ikke opdager phishing-angreb.

Et hacker-værktøj gør det muligt at stjæle login til den populære password-manager LastPass, så selv de mest forsigtige brugere ikke opdager det.

Det skriver The Guardian.

Læs også: Lusket phishing-app lokker Facebook-brugere lige i fælden

Sikkerhedsekspert Sean Cassidy præsenterede phishing-angrebet på en konference i Washington.

»Jeg kalder dette angreb for LostPass. LostPass virker fordi LastPass viser beskeder i browseren som hackeren kan forfalske. Brugeren kan ikke se forskel på den falske LostPass-besked og den ægte, fordi der ikke er nogen forskel. Det er pixel-for-pixel den samme notifikation og login-skærm,« forklarede han om phishing-værktøjet.

Læs også: Efterretningstjeneste: Drop strikse password-regler

Angrebet fungerer ved at lade brugeren tro, at han eller hun er logget af LastPass. Herefter bliver brugeren bedt om at logge ind via den falske dialogboks. Hackeren har herefter fri adgang til samtlige kodeord, som administreres i LastPass.

Angrebet, som endnu ikke er observeret ‘live’, fungerer ifølge Sean Cassidy bedst i Chrome, som bruger en HTML-loginside, mens Firefox åbner et nyt vindue, der derfor tager sit udseende efter operativsystemet.

LastPass skriver i en kommentar til præsentationen, at selskabet vil gennemgå programmets dialogbokse, så de bliver sværere at efterligne.

Kommentarer (4)

Brian Hansen

Er det ikke stadigvæk online at de gemmer dine passwords? Havde de ikke et læk sidste år?
Hvorfor er der fortsat nogen der bruger dem, mod en offline database ala. Keepass ?

Jimmy Knudsen

LastPass opdaterede sikkerheden allerede INDEN ovenstående artikel blev skrevet:
Se her: https://lastpass.com/support.php?cmd=showfaq&id=10072
og her: http://uk.businessinsider.com/lastpass-increases-security-following-a-se...

Hvad angår henvisningen til den gamle artikel med stjålne Master Passwords, så bemærk venligst at de var KRYPTEREDE. Desuden var LastPass MEGET hurtigt ude med besked til os brugere med anbefaling om at skifte vores passwords.

Angående det at bruge en offline database... Hvordan skal jeg så have adgang til alle mine kode både på pc, tablet og telefon, hvorsomhelst, nårsomhelst?

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen