LastPass网络钓鱼攻击可能有钩住密码
奥巴马将为自动驾驶汽车研究要求40亿美元
谷歌将被要求向立法者解释“舒适”的英国税收
CIO采访:Henrik Iversen,Monjasa
Akamai报告提出了对英国宽带统计数据的问题
IBM财务挤压但云,移动,安全和分析显示增长
Maynooth大学现代网络满足增长挑战
使用Cortana,Microsoft在新的Windows 10间谍软件恐慌中是'scroogled'
旧金山拥有第一次自动车祸
这就是为什么Jaw-Dropping 200万台设备运行Microsoft Windows 10
华为和三星审判连通城市照明
经过许多承诺,Microsoft加速Windows 10预览交付
AT&T最新的商业折扣是2英尺的智能手机交易
对于Sendachi,创建一个敏捷公司是关于文化,而不是工具
到2019年,在NHS上进行免费Wi-Fi
CIO采访:Jean-Christophe Lalanne,Cio,Friance-KLM,为什么WAN赢得业务
IT部门认为英国可能会离开欧盟吗?
澳大利亚结束税收漏洞,准备从科技巨头抓住数百万美元
UCLH寻找战略技术合作伙伴
沙特阿拉伯可以温暖到云计算,只要监管和连接保持速度
BMW集团与水电供电的瑞典数据中心运营商签署HPC和托管协议
DWP在2012年中期,尽管坚持一切顺利,但仍然在2012年中获知
Crypto Ransomware Lurks在广告上的流行网站
Fiber AltNet B4RN可以获取代码权力来构建网络
调查说,公共部门IT领导人赌博数字项目
私人移动网络为ocado的机器人仓库提供权力
英国为怪物互联网监控网络支付数十亿美元
Gateshead NHS Trust使用数据可视化来提高性能
欧洲委员会为科学家创造67亿欧元的大陆云
NCA尝试“后门”访问获得活动家Lauri Love的密码
它的挑战可能会强迫欧盟小姐截止欧盟分裂业务的截止日期
美国医院声称争夺了赎金软件攻击
CBI警告,英国经济面临数字鸿沟
DDOS袭击于2015年袭击了四分之三的全球品牌
M&S Credits Office 365,员工协作和沟通
恶意域名服务基础架构篮板到近历史级别
环境署从富士通收购新的洪水预警系统
CityFibre点亮米尔顿凯恩斯和北安普敦
NCA说,平衡隐私和保障是一个关键挑战
GCHQ告诉分析师承担监督“散装数据”是合法的
政府推迟数字战略,直到欧盟公投
面试:吉尼布奇,电子商务运营经理Skullcandy
联想将X86服务器生产扩展到欧洲
EY在新加坡IT专业知识中投资
OpenStack基础筹备了解决企业技能差距的努力
局部数字联盟推进地方政府数字项目
年轻的愿意是网络战士在Bletchley Park战斗
SSE Enterprise Telecoms将客户连接到CityFibre网络
虚拟桌面基础设施为中东企业增长
CIO采访:Mark Ridley,Reed.co.uk
您的位置:首页 >科技 > 物联科技 >

LastPass网络钓鱼攻击可能有钩住密码

2021-06-11 18:44:14 [来源]:

根据新的研究,可以使用相对简单的网络钓鱼攻击来损害广泛使用的密码管理器Lastpass。

根据Sean Cassidy的说法,浏览器窗口中LastPass版本4.0显示的通知可以欺骗,欺骗人们欺骗人们进入他们的登录凭据甚至抢夺一次性密码。

Cassidy是Praesido Inc.的CTO,通知了这些问题的Lastps。在博客文章中,LastPass表示,它已经改进了,这应该使这种攻击更加困难,而不会在没有用户了解的情况下撤下。

Cassidy发布了一个名为lostpass的GitHub的工具,它展示了攻击者如何从LastPass欺骗警报,最终欺骗用户进入他们的登录凭据。

在一个博客文章中,Cassidy描述了LastPass如何提醒用户,如果他们“重新注销了应用程序。但是,通过浏览器的视口显示警报,如果有人可以诱导恶意网站,可以创建和触发完全相同的警报。

为了他的验证攻击,他购买了“Chrome-extension.pw”的域名“chrome-extension.pw”,它看起来类似于Chrome的浏览器扩展协议,而不太可能提高眉毛。

如果单击,则失去通知警报,然后可以导致询问用户凭据的恶意域。如果启用了双因素身份验证,则访问令牌也可能被盗。此时,Cassidy写道,可以使用LastPass API收集所有受害者的密码。

奇怪的是,那些有两个因素认证的LastPass客户可能更容易受到攻击。

CASSIDY如果使用新IP地址进行登录尝试,则将LastPass写了一封电子邮件通知。但是,只有一个人没有启用双因素身份验证,只能发送那个警报,因此它启用了那些启用的警报。

rivelpass已经改变了通知,如果登录尝试是从新位置或设备进行的登录尝试,也会转到具有双因素的人。

Cassidy争辩他的研究表明,软件如何对网络钓鱼攻击更能抵抗。

“对网络钓鱼问题的许多反应是”培训用户“,好像是他们的错,他们被淘汰了,”卡西迪写道。“培训在打击Lostpass时无效,因为对用户所展示的情况几乎没有任何差异。”

虽然Cassidy写道,问题很难修复,但他决定去公众。

“一旦我发布了这次袭击的细节,罪犯就可以在不到一天的时间内制作自己的版本,”他写道。“我正在发布这个工具,以便公司可以对自己进行笔记,以便对这次攻击做出明智的决定并适当地回应。”

LastPass以响应Cassidy的研究和计划“来释放绕过视口的额外通知选项,实现了一些新的防御。”

该公司还阻止了Web页面从绘制了Lastpass之外的人。即使用户看到了警告他们“重新登录,理论上他们应该注意到rightpass实际上仍然登录。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。