Phishing-angreb kan snuppe login til password-manager

Login-dialogen i Password-administratoren LastPass kan simuleres så nøje, at brugeren ikke opdager phishing-angreb.

Et hacker-værktøj gør det muligt at stjæle login til den populære password-manager LastPass, så selv de mest forsigtige brugere ikke opdager det.

Det skriver The Guardian.

Læs også: Lusket phishing-app lokker Facebook-brugere lige i fælden

Sikkerhedsekspert Sean Cassidy præsenterede phishing-angrebet på en konference i Washington.

»Jeg kalder dette angreb for LostPass. LostPass virker fordi LastPass viser beskeder i browseren som hackeren kan forfalske. Brugeren kan ikke se forskel på den falske LostPass-besked og den ægte, fordi der ikke er nogen forskel. Det er pixel-for-pixel den samme notifikation og login-skærm,« forklarede han om phishing-værktøjet.

Læs også: Efterretningstjeneste: Drop strikse password-regler

Angrebet fungerer ved at lade brugeren tro, at han eller hun er logget af LastPass. Herefter bliver brugeren bedt om at logge ind via den falske dialogboks. Hackeren har herefter fri adgang til samtlige kodeord, som administreres i LastPass.

Angrebet, som endnu ikke er observeret ‘live’, fungerer ifølge Sean Cassidy bedst i Chrome, som bruger en HTML-loginside, mens Firefox åbner et nyt vindue, der derfor tager sit udseende efter operativsystemet.

LastPass skriver i en kommentar til præsentationen, at selskabet vil gennemgå programmets dialogbokse, så de bliver sværere at efterligne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (4)

Brian Hansen

Er det ikke stadigvæk online at de gemmer dine passwords? Havde de ikke et læk sidste år?
Hvorfor er der fortsat nogen der bruger dem, mod en offline database ala. Keepass ?

Jimmy Knudsen

LastPass opdaterede sikkerheden allerede INDEN ovenstående artikel blev skrevet:
Se her: https://lastpass.com/support.php?cmd=showfaq&id=10072
og her: http://uk.businessinsider.com/lastpass-increases-security-following-a-se...

Hvad angår henvisningen til den gamle artikel med stjålne Master Passwords, så bemærk venligst at de var KRYPTEREDE. Desuden var LastPass MEGET hurtigt ude med besked til os brugere med anbefaling om at skifte vores passwords.

Angående det at bruge en offline database... Hvordan skal jeg så have adgang til alle mine kode både på pc, tablet og telefon, hvorsomhelst, nårsomhelst?

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 15:06

Welcome to Free course to learn about the combined power of Alteryx and Qlik!

Affecto invites to a free course, where we want to share our knowledge of this self-service analysis platform together with the power of Qlik.
20. apr 2017

Robotics Process Automation (RPA) changes the way organizations think about and perform work at a reduced cost, higher efficiency and greater productivity

Join us for this exiting seminar, which Affecto hosts with our business partner SmartRPA May 3rd, 2017 at 13.00 in Copenhagen.
30. mar 2017