LastPass网络钓鱼攻击可能有钩住密码

根据新的研究，可以使用相对简单的网络钓鱼攻击来损害广泛使用的密码管理器Lastpass。

根据Sean Cassidy的说法，浏览器窗口中LastPass版本4.0显示的通知可以欺骗，欺骗人们欺骗人们进入他们的登录凭据甚至抢夺一次性密码。

Cassidy是Praesido Inc.的CTO，通知了这些问题的Lastps。在博客文章中，LastPass表示，它已经改进了，这应该使这种攻击更加困难，而不会在没有用户了解的情况下撤下。

Cassidy发布了一个名为lostpass的GitHub的工具，它展示了攻击者如何从LastPass欺骗警报，最终欺骗用户进入他们的登录凭据。

在一个博客文章中，Cassidy描述了LastPass如何提醒用户，如果他们“重新注销了应用程序。但是，通过浏览器的视口显示警报，如果有人可以诱导恶意网站，可以创建和触发完全相同的警报。

为了他的验证攻击，他购买了“Chrome-extension.pw”的域名“chrome-extension.pw”，它看起来类似于Chrome的浏览器扩展协议，而不太可能提高眉毛。

如果单击，则失去通知警报，然后可以导致询问用户凭据的恶意域。如果启用了双因素身份验证，则访问令牌也可能被盗。此时，Cassidy写道，可以使用LastPass API收集所有受害者的密码。

奇怪的是，那些有两个因素认证的LastPass客户可能更容易受到攻击。

CASSIDY如果使用新IP地址进行登录尝试，则将LastPass写了一封电子邮件通知。但是，只有一个人没有启用双因素身份验证，只能发送那个警报，因此它启用了那些启用的警报。

rivelpass已经改变了通知，如果登录尝试是从新位置或设备进行的登录尝试，也会转到具有双因素的人。

Cassidy争辩他的研究表明，软件如何对网络钓鱼攻击更能抵抗。

“对网络钓鱼问题的许多反应是”培训用户“，好像是他们的错，他们被淘汰了，”卡西迪写道。“培训在打击Lostpass时无效，因为对用户所展示的情况几乎没有任何差异。”

虽然Cassidy写道，问题很难修复，但他决定去公众。

“一旦我发布了这次袭击的细节，罪犯就可以在不到一天的时间内制作自己的版本，”他写道。“我正在发布这个工具，以便公司可以对自己进行笔记，以便对这次攻击做出明智的决定并适当地回应。”

LastPass以响应Cassidy的研究和计划“来释放绕过视口的额外通知选项，实现了一些新的防御。”

该公司还阻止了Web页面从绘制了Lastpass之外的人。即使用户看到了警告他们“重新登录，理论上他们应该注意到rightpass实际上仍然登录。