כיצד להגן על עצמך מפני איום הפריצה החדש של LastPass

2024 מְחַבֵּר: Malcolm Clapton | [email protected]. שונה לאחרונה: 2023-12-17 03:56

אתמול התגלתה דרך אמיתית לגנוב נתונים ממנהל הסיסמאות הפופולרי LastPass. אנו ממליצים לקרוא את המאמר הזה כדי לא ליפול על הפיתיון.

אנו משתמשים בשירותים מקוונים ויישומי אינטרנט רבים, שכל אחד מהם דורש כניסות וסיסמאות שונות למטרות אבטחה. אי אפשר לשמור את כולם בראש, וזו הסיבה שמנהלי סיסמאות נפוצים. הם מספקים אחסון אמין ושימוש נוח בכניסות וסיסמאות לא רק עבור שירותים מקוונים, אלא גם עבור מערכות תשלום, חשבונות בנק וכו'. לכן, דליפה או פיצוח של מנהל סיסמאות כזה יכולה להפוך לבעיה גדולה עבור משתמשים רבים.

אחת האפליקציות הפופולריות ביותר מסוג זה היא LastPass. זהו פתרון מעולה שעמד במבחן הזמן ובמספר רב של התקפות האקרים. עם זאת, אתמול, מומחה אבטחת המחשבים שון קסידי גילה אפשרות של מתקפת פישינג ב-LastPass. הוא קרא לזה בחוכמה LostPass (סיסמאות אבודות).

בקיצור, הפגיעות שנמצאה נראית כך. ראשית, התוקף מפתה אותך לאתר שלו, שמציג הודעה מזויפת (!) על כך שההפעלה שלך פג וצריך להיכנס שוב. בטח ראית התראות דומות מ-LastPass.

מכיוון שההודעה מזויפת, לחיצה על כפתור נסה שוב תעביר אותך לדף בעל מבנה מיוחד שנראה בדיוק כמו טופס התחברות וסיסמה סטנדרטי של LastPass. אפילו תהיה לה כתובת כמעט זהה לזה שלדפי שירות הדפדפן הנפתחים על ידי הרחבות מותקנות בדרך כלל. חוץ מפרט קטן שהדגשתי בצילום המסך. אני בטוח שרוב המשתמשים לא ישימו לב לזוט כזה.

לאחר מכן, אתה מזין את שם המשתמש והסיסמה שלך בעמוד זה כדי להיכנס ל-LastPass, והם נופלים מיד לידיהם של האקרים. כתוצאה מכך, לאחרונים יש גישה מלאה לכל האתרים והאישורים שלך. ההתקפה פועלת גם אם הפעלת אימות דו-גורמי, רק רצף הפעולות של ההאקר יהיה צעד אחד קדימה. אתה יכול לקרוא עוד על איך LostPass עובד (באנגלית).

כמובן, אתה תוהה איך אתה יכול להגן על עצמך מפני הסכנה הזו. עד שהמפתחים של LastPass ינקטו צעדים למניעת התקפות דיוג כאלה, משתמשים יכולים להשבית זמנית את סיומת הדפדפן של שירות זה. כן, זה לא נוח ויאלץ אותך להעתיק ידנית את הסיסמאות הנדרשות מדף האינטרנט של LastPass. אפשרות קיצונית יותר היא למצוא חלופה מקבילה לאחסון סיסמאות ונתונים חסויים.

האם אתה עדיין משתמש ב-LastPass או שעברת למנהל סיסמאות אחר?