LastPass gặp rắc rối với tấn công lừa đảo

Tin tặc hiện có thể lợi dụng màn hình thông báo hiển thị của LastPass – công cụ quản lí mật khẩu để đánh cắp dữ liệu người dùng.

Thông báo hiển thị bởi LastPass phiên bản 4.0 trong trình duyệt web có thể bị giả mạo, lừa người dùng giao nộp thông tin tài khoản và thậm chí cả passcode xác thực cấp một lần.

Trong blog của mình, LastPass cho biết đã cập nhật để khiến các cuộc tấn công như vậy khó xảy ra hơn. Nhà nghiên cứu Cassidy, người tìm ra vấn đề cũng đã phát hành một công cụ trên GitHub có tên LostPass – mô tả việc tin tặc làm thế nào có thể giả mạo cảnh báo từ LastPass.

Trong bản chứng minh của mình, Cassidy đã sử dụng một tên miền “chrome-extension.pw,” khá giống một giao thức dành cho phần mở rộng của Chrome để đánh lừa thị giác. Sau khi người dùng nhấn vào thông báo giả mạo sẽ được đưa tới tên miền độc hại yêu cầu tài khoản người dùng. Nếu tính năng xác thực hai nhân tố được kích hoạt, token truy cập cũng sẽ bị đánh cắp. Và thông qua LastPass API, tất cả mật khẩu đều có thể bị rò rỉ.

CW