Phishing mot Lastpass
Brukere av passordtjenesten Lastpass kan utsettes for phishing-angrep som samler inn alle lagrede passord.
Svært mange benytter seg av passordtjenesten Lastpass, som lar deg slippe å huske mer enn ett passord for å logge inn sikkert på nettsteder og tjenester på nett. Nå viser det seg at det kan være relativt enkelt å bruke en falsk nettside til lure brukere til å oppgi dette passordet, ifølge Computerworlds nyhetstjeneste.
Det er meldinger som Lastpass versjon 4 viser i et nettleservindu som kan forfalskes. Dermed kan brukere lures til å oppgi brukernavn og passord og en eventuell engangskode.
Sean Cassidy, som er teknologisjef i sikkerhetsfirmaet Praesidio, har meldt fra til Lastpass om dette. I en blogg har Lastpass opplyst om at de har gjort endringer som skal gjøre det vanskeligere å gjennomføre et angrep som beskrevet, uten at brukeren blir oppmerksom på det.
Cassidy har på Github lagt ut et verktøy kalt Lostpass, som viser hvordan en angriper kan forfalske advarsler fra Lastpass. Og dermed få en bruker til å røpe sine påloggingsdata.
I en bloggpost har Cassidy beskrevet hvordan Lastpass varsler brukere om de er logget ut av applikasjonen. Dette vises i nettleseren på en måte som kan gjøre det mulig å lage en lik melding på et skadelig nettsted, om brukeren lures til denne.
