Phishing-angreb kan snuppe login til password-manager

Login-dialogen i Password-administratoren LastPass kan simuleres så nøje, at brugeren ikke opdager phishing-angreb.

Et hacker-værktøj gør det muligt at stjæle login til den populære password-manager LastPass, så selv de mest forsigtige brugere ikke opdager det.

Det skriver The Guardian.

Læs også: Lusket phishing-app lokker Facebook-brugere lige i fælden

Sikkerhedsekspert Sean Cassidy præsenterede phishing-angrebet på en konference i Washington.

»Jeg kalder dette angreb for LostPass. LostPass virker fordi LastPass viser beskeder i browseren som hackeren kan forfalske. Brugeren kan ikke se forskel på den falske LostPass-besked og den ægte, fordi der ikke er nogen forskel. Det er pixel-for-pixel den samme notifikation og login-skærm,« forklarede han om phishing-værktøjet.

Læs også: Efterretningstjeneste: Drop strikse password-regler

Angrebet fungerer ved at lade brugeren tro, at han eller hun er logget af LastPass. Herefter bliver brugeren bedt om at logge ind via den falske dialogboks. Hackeren har herefter fri adgang til samtlige kodeord, som administreres i LastPass.

Angrebet, som endnu ikke er observeret ‘live’, fungerer ifølge Sean Cassidy bedst i Chrome, som bruger en HTML-loginside, mens Firefox åbner et nyt vindue, der derfor tager sit udseende efter operativsystemet.

LastPass skriver i en kommentar til præsentationen, at selskabet vil gennemgå programmets dialogbokse, så de bliver sværere at efterligne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
Jimmy Knudsen

LastPass opdaterede sikkerheden allerede INDEN ovenstående artikel blev skrevet:
Se her: https://lastpass.com/support.php?cmd=showfaq&id=10072
og her: http://uk.businessinsider.com/lastpass-increases-security-following-a-se...

Hvad angår henvisningen til den gamle artikel med stjålne Master Passwords, så bemærk venligst at de var KRYPTEREDE. Desuden var LastPass MEGET hurtigt ude med besked til os brugere med anbefaling om at skifte vores passwords.

Angående det at bruge en offline database... Hvordan skal jeg så have adgang til alle mine kode både på pc, tablet og telefon, hvorsomhelst, nårsomhelst?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017