چگونه از خود در برابر تهدید جدید هک LastPass محافظت کنید

2024 نویسنده: Malcolm Clapton | [email protected]. آخرین اصلاح شده: 2023-12-17 03:54

دیروز، یک راه واقعی برای سرقت اطلاعات از مدیر رمز عبور محبوب LastPass کشف شد. توصیه می کنیم این مقاله را بخوانید تا طعمه طعمه نیفتید.

ما از بسیاری از خدمات آنلاین و برنامه‌های کاربردی وب استفاده می‌کنیم که هر کدام برای اهداف امنیتی به لاگین و رمزهای عبور متفاوتی نیاز دارند. غیرممکن است که همه آنها را در ذهن خود نگه دارید، به همین دلیل است که مدیریت رمز عبور گسترده است. آنها نه تنها برای خدمات آنلاین، بلکه برای سیستم های پرداخت، حساب های بانکی و غیره، ذخیره سازی قابل اعتماد و استفاده راحت از لاگین ها و رمزهای عبور را فراهم می کنند. بنابراین، لو رفتن یا شکستن چنین مدیریت رمز عبور می تواند برای بسیاری از کاربران به یک مشکل بزرگ تبدیل شود.

یکی از محبوب ترین اپلیکیشن های این نوع LastPass است. این یک راه حل واقعا عالی است که آزمایش زمان و حملات هکرهای متعدد را پس داده است. با این حال، روز گذشته، شان کسیدی، متخصص امنیت رایانه، احتمال حمله فیشینگ به LastPass را کشف کرد. او هوشمندانه نام آن را LostPass (رمزهای عبور از دست رفته) گذاشت.

به طور خلاصه، آسیب پذیری یافت شده به این شکل است. ابتدا، مهاجم شما را به سایت خود جذب می کند، که یک اعلان جعلی (!) نشان می دهد که جلسه شما منقضی شده است و باید دوباره وارد شوید. احتمالاً اعلان‌های مشابهی را از LastPass دیده‌اید.

از آنجایی که اعلان جعلی است، با کلیک بر روی دکمه Try Again به صفحه‌ای می‌روید که به‌طور خاص ساخته شده است که دقیقاً شبیه فرم لاگین و رمز عبور استاندارد LastPass است. حتی آدرسی تقریباً مشابه همان آدرسی خواهد داشت که معمولاً صفحات خدمات مرورگر باز شده توسط افزونه های نصب شده دارند. به جز یک جزئیات کوچک که در اسکرین شات برجسته کرده ام. من مطمئن هستم که اکثر کاربران هیچ توجهی به چنین چیز کوچکی نخواهند داشت.

در مرحله بعد نام کاربری و رمز عبور خود را برای ورود به LastPass در این صفحه وارد می کنید و بلافاصله به دست هکرها می افتد. در نتیجه، دومی ها به تمام سایت ها و اعتبارنامه های شما دسترسی کامل دارند. حتی اگر احراز هویت دو مرحله‌ای را فعال کرده باشید، این حمله کار می‌کند، فقط توالی اقدامات هکر یک قدم جلوتر خواهد بود. می‌توانید درباره نحوه عملکرد LostPass (به زبان انگلیسی) بیشتر بخوانید.

البته شما تعجب می کنید که چگونه می توانید از خود در برابر این خطر محافظت کنید. تا زمانی که توسعه دهندگان LastPass اقداماتی را برای جلوگیری از چنین حملات فیشینگ انجام ندهند، کاربران می توانند به طور موقت افزونه مرورگر این سرویس را غیرفعال کنند. بله، این کار ناخوشایند است و شما را مجبور می کند که رمزهای عبور مورد نیاز را به صورت دستی از صفحه وب LastPass کپی کنید. یک گزینه رادیکال تر، یافتن جایگزینی معادل برای ذخیره رمزهای عبور و داده های محرمانه است.

آیا هنوز از LastPass استفاده می کنید یا به مدیریت رمز عبور دیگری تغییر داده اید؟