حملات فیشینگ علیه LastPass و خط بطلانی بر احراز هویت دو مرحله‌ای این سرویس

Shmoocon Cloud در برابر رمزهای عبور دو مرحله‌ای که LastPass برای احراز هویت کاربران خود در دستگاه‌های جدید قرار داده است موضع‌گیری کرده است، این کار پس از آن انجام شد که پژوهش‌گری به نام Sean Cassidy کدی را قرار داد که به مجرمان اجازه می‌دهد با حملات فیشینگ به غارت محتویات کاربران بپردازند.
تا به امروز، کاربرانی که از احراز هویت دو مرحله‌ای استفاده می‌کرده‌اند، نیاز داشتند تا وارد حساب رایانامه‌ی ثبت‌شده‌ی خود شوند تا دستگاهی‌ را که از آن استفاده می‌کنند تأیید کرده و از آن طریق وارد LastPass شوند.
قبلاً استفاده از احراز هویت دو مرحله‌ای برای افراد جسور، نیاز نبود.
این تغییر در حرکت سریعی برای غلبه بر هرج و مرج‌های برخط صورت گرفت که در آن بسیاری از کاربران به احتمال زیاد هنگام ورود به حساب رایانامه‌ی خود با حملات فیشینگ روبرو می‌شدند که از آن‌ها خواسته می‌شد تا جزییات حساب احراز هویت دو مرحله‌ای خود را به شکل ظاهراً قانونی وارد سازند.
تا چند ساعت پیش این کار به این معنا بود که خلاف کاران می‌توانند به سرعت آن‌ها را به صفحات فیشینگ از پیش طراحی شده هدایت کنند و یا به سمت وب‌گاه‌‌های آسیب‌پذیر در برابر تزریق کد منتقل کنند.
Cassidy می‌گوید: «مجرمان می‌توانند صفحات فیشینگ خود را در ظرف کم‌تر از یک روز برای حمله به نسخه‌ی جدید شماره‌ی ۴ LastPass ایجاد کنند.»
«من این ابراز فیشینگ را انتشار دادم تا شرکت‌ها بتوانند خود را در معرض آزمون برای تصمیم‌گیری آگاهانه در مورد این نوع از حملات و پاسخ مناسب به آن‌ها قرار دهند.»
مهاجمان می‌توانند هشدارها را به گونه‌ای مسدود کنند که به نظر برسد LastPass به طور معمول در حال انجام کارهای خود است و بر این اساس کابران گذرواژه را در هر جایی غیر از وب‌گاه اصلی وارد کنند.
LastPass این حمله‌ را که موجب از دست رفتن گذرواژه‌ می‌شود در ماه دسامبر تأیید کرده و آن را به عنوان یک مشکل فیشینگ کم‌اهمیت در نظر گرفته است.
Cassidy ، مدیرارشد فن‌آوری‌های امنیتی Praesidio این کد را بعد از صحبتی که در کنفرانس ShmooCon در واشنگتن انجام داد، در Github منتشر نمود.
او توضیح می‌دهد که چگونه مهاجمان می‌توانند یک پیام یا علامتی که در دید باشد ایجاد کنند تا کاربران را برای وارد کردن اطلاعات احراز هویت خود فریب دهند، و قربانیان را با استفاده از درخواست‌های شناخته‌شده‌ی تزریق کد خارج از حساب‌های کاربری خود، به سمت هر نوع وب‌گاهی که خود می‌خواهند هدایت کنند.
او می‌گوید:‌ «برخلاف بسیاری از حملات فیشینگ،‌ کاربران نمی‌خواهند که از خود محافظتی در این زمینه به عمل آورند، زیرا آن‌ها قرار نیست که در یک وب‌گاه امن قرار داشته باشند.»
اگر آن‌ها برنامه LastPass را نصب کرده باشند، برای آن‌ها نشان داده می‌شود که اطلاعات ثبت‌نام منقضی شده و آن‌ها را خارج از LastPass می‌برند، و در حالی‌که کابران تصور می‌کنند داخل وب‌گاه اصلی هستند، در حقیقت خارج از وب‌گاه اصلی قرار داده شده‌اند.
هنگامی که قربانی بر روی یکی از این اعلان‌های جعلی کلیک می‌کند، به سمت یک صفحه‌‌ی ورود اطلاعاتی که توسط یک نفوذگر کنترل می‌شود هدایت می‌شود، که کاملاً شبیه صفحه‌ی برنامه‌ی LastPass است.»
او می‌گوید:‌ «مهاجمانی که کنترل این صفحات و حساب‌ها را در دست دارند، می‌توانند خود را به عنوان یک تماس اضطراری اضافه کنند تا از تدوام حمله اطمینان حاصل کنند.»
LastPass می‌گوید تأیید رایانامه می‌تواند همه‌ی حملات را خنثی کند، مگر این‌که حساب رایانامه‌ی کاربر خود در خطر قرار گرفته باشد.
این شرکت در یکی از پست‌های خود خطاب به کاربران شبکه‌های اجتماعی که در این مورد نگران هستند می‌گوید: «روند تأییدیه به طور مؤثری حملات فیشینگ را کاهش می‌دهد.»
مهاجم نیاز به دسترسی به حساب رایانامه‌ی کاربر دارد که به وسیله‌ی احراز هویت دو مرحله‌ای معرفی شده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.