Πώς να προστατευτείτε από τη νέα απειλή hack του LastPass

2024 Συγγραφέας: Malcolm Clapton | [email protected]. Τελευταία τροποποίηση: 2023-12-17 03:52

Χθες, ανακαλύφθηκε ένας πραγματικός τρόπος κλοπής δεδομένων από τον δημοφιλή διαχειριστή κωδικών πρόσβασης LastPass. Σας συνιστούμε να διαβάσετε αυτό το άρθρο για να μην πέσετε στο δόλωμα.

Χρησιμοποιούμε πολλές διαδικτυακές υπηρεσίες και διαδικτυακές εφαρμογές, καθεμία από τις οποίες απαιτεί διαφορετικά στοιχεία σύνδεσης και κωδικούς πρόσβασης για λόγους ασφαλείας. Είναι αδύνατο να τα κρατήσετε όλα στο μυαλό σας, γι' αυτό οι διαχειριστές κωδικών πρόσβασης είναι ευρέως διαδεδομένοι. Παρέχουν αξιόπιστη αποθήκευση και βολική χρήση στοιχείων σύνδεσης και κωδικών πρόσβασης όχι μόνο για διαδικτυακές υπηρεσίες, αλλά και για συστήματα πληρωμών, τραπεζικούς λογαριασμούς κ.λπ. Επομένως, η διαρροή ή το σπάσιμο ενός τέτοιου διαχειριστή κωδικών πρόσβασης μπορεί να γίνει μεγάλο πρόβλημα για πολλούς χρήστες.

Μία από τις πιο δημοφιλείς εφαρμογές αυτού του είδους είναι το LastPass. Αυτή είναι μια πραγματικά εξαιρετική λύση που έχει αντέξει στη δοκιμασία του χρόνου και πολλές επιθέσεις χάκερ. Ωστόσο, χθες, ο ειδικός σε θέματα ασφάλειας υπολογιστών Sean Cassidy ανακάλυψε την πιθανότητα επίθεσης phishing στο LastPass. Το ονόμασε έξυπνα LostPass (χαμένοι κωδικοί πρόσβασης).

Εν ολίγοις, η ευπάθεια που βρέθηκε μοιάζει με αυτό. Αρχικά, ο εισβολέας σας παρασύρει στον ιστότοπό του, ο οποίος εμφανίζει μια ψεύτικη (!) ειδοποίηση ότι η σύνοδός σας έχει λήξει και πρέπει να συνδεθείτε ξανά. Ίσως έχετε δει παρόμοιες ειδοποιήσεις από το LastPass.

Δεδομένου ότι η ειδοποίηση είναι ψεύτικη, κάνοντας κλικ στο κουμπί Δοκιμάστε ξανά θα μεταφερθείτε σε μια ειδικά διαμορφωμένη σελίδα που μοιάζει ακριβώς με μια τυπική φόρμα σύνδεσης και κωδικού πρόσβασης στο LastPass. Θα έχει ακόμη και διεύθυνση σχεδόν ίδια με αυτήν που έχουν συνήθως οι σελίδες υπηρεσιών προγράμματος περιήγησης που ανοίγουν από εγκατεστημένες επεκτάσεις. Εκτός από μια μικρή λεπτομέρεια που έχω επισημάνει στο στιγμιότυπο. Είμαι σίγουρος ότι οι περισσότεροι χρήστες δεν θα δώσουν καμία σημασία σε ένα τέτοιο μικροπράγμα.

Στη συνέχεια, εισάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας σε αυτή τη σελίδα για να συνδεθείτε στο LastPass και αμέσως πέφτουν στα χέρια των χάκερ. Ως αποτέλεσμα, οι τελευταίοι έχουν πλήρη πρόσβαση σε όλους τους ιστότοπους και τα διαπιστευτήριά σας. Η επίθεση λειτουργεί ακόμα κι αν έχετε ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων, μόνο η ακολουθία ενεργειών του χάκερ θα είναι ένα βήμα παραπέρα. Μπορείτε να διαβάσετε περισσότερα για το πώς λειτουργεί το LostPass (στα Αγγλικά).

Φυσικά, αναρωτιέσαι πώς μπορείς να προστατευτείς από αυτόν τον κίνδυνο. Έως ότου οι προγραμματιστές του LastPass λάβουν μέτρα για να αποτρέψουν τέτοιες επιθέσεις phishing, οι χρήστες μπορούν να απενεργοποιήσουν προσωρινά την επέκταση προγράμματος περιήγησης αυτής της υπηρεσίας. Ναι, αυτό είναι άβολο και θα σας αναγκάσει να αντιγράψετε με μη αυτόματο τρόπο τους απαιτούμενους κωδικούς πρόσβασης από την ιστοσελίδα του LastPass. Μια πιο ριζοσπαστική επιλογή είναι να βρείτε μια ισοδύναμη εναλλακτική για την αποθήκευση κωδικών πρόσβασης και εμπιστευτικών δεδομένων.

Εξακολουθείτε να χρησιμοποιείτε το LastPass ή έχετε αλλάξει σε άλλο διαχειριστή κωδικών πρόσβασης;