LastPass网络钓鱼攻击可能有弄住密码
发布时间:2021-12-09 11:39:17 所属栏目:要闻 来源:互联网
导读:根据新的研究,可以使用相对简单的网络钓鱼攻击来损害广泛使用的密码管理器Lastpass。 根据Sean Cassidy的说法,浏览器窗口中LastPass版本4.0显示的通知可以欺骗,欺骗人们欺骗人们进入他们的登录凭据甚至抢夺一次性密码。 Cassidy是Praesido Inc.的CTO,通
|
根据新的研究,可以使用相对简单的网络钓鱼攻击来损害广泛使用的密码管理器Lastpass。 根据Sean Cassidy的说法,浏览器窗口中LastPass版本4.0显示的通知可以欺骗,欺骗人们欺骗人们进入他们的登录凭据甚至抢夺一次性密码。 Cassidy是Praesido Inc.的CTO,通知了这些问题的Lastps。在博客文章中,LastPass表示,它已经改进了,这应该使这种攻击更加困难,而不会在没有用户了解的情况下撤下。 Cassidy发布了一个名为lostpass的GitHub的工具,它展示了攻击者如何从LastPass欺骗警报,最终欺骗用户进入他们的登录凭据。 在一个博客文章中,Cassidy描述了LastPass如何提醒用户,如果他们“重新注销了应用程序。但是,通过浏览器的视口显示警报,如果有人可以诱导恶意网站,可以创建和触发完全相同的警报。 为了他的验证攻击,他购买了“Chrome-extension.pw”的域名“chrome-extension.pw”,它看起来类似于Chrome的浏览器扩展协议,而不太可能提高眉毛。 如果单击,则失去通知警报,然后可以导致询问用户凭据的恶意域。如果启用了双因素身份验证,则访问令牌也可能被盗。此时,Cassidy写道,可以使用LastPass API收集所有受害者的密码。 奇怪的是,那些有两个因素认证的LastPass客户可能更容易受到攻击。 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
