随着密码管理器的流行,密码管理器本身也日益成为攻击目标。安全研究人员发现了针对流行密码管理器LastPass的钓鱼攻击。

这一攻击被命名为LostPass,攻击者通过伪造LastPass登录界面,试图窃取用户的电子邮件、密码、甚至二步认证码,完整访问用户储存在LastPass中的所有密码和文档。当用户浏览一个恶意网站,攻击者会在浏览器上展示一个逼真的LastPass过期通知,诱惑用户点击登录。当受害者点击通知,用户会被定向到攻击者控制的登录页面,登录页面模仿了LastPass;当受害者输入了帐号密码,递交到攻击者的服务器,攻击者的服务器通过调用LastPass的API检查凭证是否正确,如果需要二步认证,API将会通知用户。一旦获得了正确的用户名、密码以及二步认证令牌,攻击者会通过API下载所有的受害者信息。

3 收藏


直接登录

推荐关注