LastPass là một kho lưu trữ mật khẩu rất dễ bị bẻ khóa thông qua các cuộc tấn công lừa đảo. Khuyến cáo thận trọng.
Theo James Lyne của công ty bảo mật Sophos Năm 2016 sẽ là năm của các cuộc tấn công lừa đảo. Suy cho cùng, những kẻ lừa đảo như vậy ngày càng trở nên chuyên nghiệp, khiến tin nhắn giả gần như không thể phân biệt được với tin nhắn thật. Kho mật khẩu và tài liệu LastPass giờ đây cũng có thể trực tiếp trải nghiệm điều này.
Các cuộc tấn công được các nhà nghiên cứu bảo mật gọi một cách khéo léo là “LostPass”. Thông qua cuộc tấn công lừa đảo, bọn tội phạm chiếm hữu tất cả các mật khẩu khác nhau mà bạn đã đặt trong đó. Sau đó, bạn mở khóa két bằng mật khẩu chính. Nhờ xác minh hai bước, hệ thống này thường có thể mở khóa được.
Pixel theo pixel
Những kẻ vô lại muốn bẻ khóa kho tiền sử dụng một trang web hiển thị cho người dùng một hình ảnh để nói rằng họ đã đăng xuất khỏi LastPass. Để đăng nhập lại, anh ta phải nhấn nút đăng nhập. Thông điệp này được sao chép một cách thuyết phục từ trang web thật đến nỗi nhiều người đã mê mẩn nó. Tuy nhiên, điều đó thậm chí còn thuyết phục hơn vì trang web quản lý việc khai thác API của vault để một số người dùng thực sự đã đăng xuất khỏi LastPass.
Sau đó, khi người dùng đăng nhập qua trang web xấu, thông tin xác thực của họ sẽ được ghi lại và tự động kiểm tra dựa trên dịch vụ chính hãng để xác minh rằng chúng chính xác và người dùng đã bật xác minh hai bước. Trong trường hợp đó, trang web xấu có thể yêu cầu và nhập lại mã xác minh trên trang web gốc.
Toàn bộ sự việc rất thuyết phục, một phần là do mọi pixel đều được tội phạm mạng sao chép chính xác. Trang giả gần như không thể phân biệt được với trang thật. LastPass đã phản ứng lại mối đe dọa bằng một thông báo cảnh báo người dùng về những hành vi như vậy. Tuy nhiên, các nhà nghiên cứu gọi biện pháp này là không đủ và khá ngây thơ.
