Com protegir-se de la nova amenaça de pirateig LastPass

2024 Autora: Malcolm Clapton | [email protected]. Última modificació: 2023-12-17 03:49

Ahir es va descobrir una manera real de robar dades del popular gestor de contrasenyes LastPass. Us recomanem que llegiu aquest article per no caure en l'esquer.

Utilitzem molts serveis en línia i aplicacions web, cadascun dels quals requereix inicis de sessió i contrasenyes diferents per motius de seguretat. És impossible tenir-les totes al cap, per això els gestors de contrasenyes estan molt estesos. Proporcionen un emmagatzematge fiable i un ús còmode d'inicis de sessió i contrasenyes no només per als serveis en línia, sinó també per als sistemes de pagament, comptes bancaris, etc. Per tant, filtrar o trencar aquest gestor de contrasenyes pot esdevenir un gran problema per a molts usuaris.

Una de les aplicacions més populars d'aquest tipus és LastPass. Aquesta és una solució realment fantàstica que ha resistit la prova del temps i nombrosos atacs de pirates informàtics. No obstant això, ahir, l'especialista en seguretat informàtica Sean Cassidy va descobrir la possibilitat d'un atac de pesca a LastPass. El va anomenar intel·ligentment LostPass (contrasenyes perdudes).

En resum, la vulnerabilitat trobada és així. En primer lloc, l'atacant us atrau al seu lloc, que mostra una notificació falsa (!) que la vostra sessió ha caducat i s'ha de tornar a iniciar la sessió. Probablement heu vist notificacions similars de LastPass.

Com que la notificació és falsa, si feu clic al botó Torna-ho a provar, us portarà a una pàgina especialment dissenyada que s'assembla exactament a un formulari d'inici de sessió i contrasenya estàndard de LastPass. Fins i tot tindrà una adreça gairebé la mateixa que solen tenir les pàgines de servei del navegador obertes per les extensions instal·lades. Excepte un petit detall que he destacat a la captura de pantalla. Estic segur que la majoria d'usuaris no prestaran cap atenció a aquesta bagatela.

A continuació, introduïu el vostre nom d'usuari i contrasenya en aquesta pàgina per iniciar sessió a LastPass, i de seguida cauen en mans dels pirates informàtics. Com a resultat, aquests últims tenen accés complet a tots els vostres llocs i credencials. L'atac funciona fins i tot si teniu l'autenticació de dos factors activada, només la seqüència d'accions del pirata informàtic serà un pas més enllà. Podeu llegir més sobre com funciona LostPass (en anglès).

Per descomptat, et preguntes com pots protegir-te d'aquest perill. Fins que els desenvolupadors de LastPass prenguin mesures per prevenir aquests atacs de pesca, els usuaris poden desactivar temporalment l'extensió del navegador d'aquest servei. Sí, això és inconvenient i us obligarà a copiar manualment les contrasenyes requerides des de la pàgina web de LastPass. Una opció més radical és trobar una alternativa equivalent per emmagatzemar contrasenyes i dades confidencials.

Encara esteu utilitzant LastPass o heu canviat a un altre gestor de contrasenyes?