خنثی‌شدن حملات فیشینگ علیه LastPass

LastPass اقداماتی را جهت کاهش حملات فیشینگ که در خبرهای پیشین راجع به آن‌ها خواندید، انجام داده است. حملاتی که موجب به خطر افتادن حساب‌های کابران و اطلاعات ذخیره شده در مدیریت گذرواژه‌ها شده بود
محققی به نام Sean Cassidy، مدیر ارشد فن‌آوری شرکت امنیتی ابری Praesidio حمله‌ای را نشان داد که در آن او قادر بود یک صفحه‌ی ورود نام کاربری و رمز عبور را عیناً بازسازی کند. حمله‌ی کاسیدی به وسیله‌ی تغییر مسیر یک رایانامه‌ی فیشینگ ارسالی به کاربر، به سمت یک صفحه که توسط نفوذگران کنترل می‌شد، صورت می‌گرفت. صفحه‌ی اطلاع‌رسانی نفوذگر به کاربر می‌گوید که او از وب‌گاه LastPass خارج شده است و او را قانع می‌کرد که اطلاعات مربوط به رمزهای عبور، احراز هویت دو مرحله‌ای و دیگر اطلاعاتی را که لازم داشتند، وارد کند. با احراز هویت کاربر، یک مهاجم می‌تواند به گذرواژه‌های قربانی و هر گونه سندی که در برنامه‌ی LastPass ذخیره شده است، دسترسی پیدا کند.
این شرکت، در پی سخن‌رانی شنبه‌ی کاسیدی در کنفرانس نفوذگران در واشنگتن دی‌سی، تأیید رایانامه را به عنوان نیاز پیش‌فرض، برای هنگامی که حساب‌های کاربری از مکان‌ و یا دستگاه جدیدی مورد استفاده قرار می‌گرفت، لازم دانست.
کاسیدی امروز به Threatpost گفت: «این کار حمله‌ی من را خنثی می‌کند.»
کاسیدی گفت که استفاده LastPass از احراز هویت دو مرحله‌ای حمله‌ی او را آسان‌تر می‌کرد، زیرا قبل از آن، تأیید رایانامه تنها در صورتی انجام می‌شد که کاربر احراز هویت دو مرحله‌ای را فعال نکرده باشد. کاسیدی گفت، چون در حمله‌ی LastPass به خاطر احراز هویت دو مرحله‌ای حمله‌ی فیشینگ صورت می‌گیرد، تأیید رایانامه کنار گذاشته شده بود.
کاسیدی گفت: «اگر شما احراز هویت دو مرحله‌ای را فعال کرده باشید، این دو مرحله‌ای بودن از امنیت شما می‌کاهد. اما تأیید رایانامه از قبل، راه حل درست این کار است.»
یکی از نمایندگان LastPass گفت که تأیید رایانامه برای مکان‌ها و دستگاه‌های جدید از میانه‌ی سال ۲۰۱۵ به عنوان گزینه‌ی پیش‌فرض فعال بوده است.
این نماینده LastPass گفت: «اگر چه در آن زمان ما به کاربرانی که احراز هویت دو مرحله‌ای را فعال کرده بودند اجازه دادیم تا این مرحله از تأیید را نادیده بگیرند، زیرا که این کاربران حفاظت بیشتر را برای حساب کاربری خود فعال کرده بودند. اما در پاسخ به تحقیقات کاسیدی، ما اکنون این گزینه را برای همه‌ی کاربران، حتی کسانی که احراز هویت دو مرحله‌ای را فعال کرده‌اند، به صورت پیش‌فرض قرار داده‌ایم.»
کاسیدی ابزاری را منتشر کرده است که می‌گوید سازمان‌ها می‌توانند برای آزمایش علیه حملات به کار گیرند. او می‌گوید که این آسیب‌پذیری را در ماه اکتبر یافته است و به صورت خصوصی آن را در ماه نوامبر به LastPass اطلاع داده است. با این حال دو طرف در مورد این مشکل اتفاق نظر ندارند، زیرا که LastPass موضوع را به عنوان یک حمله‌ی فیشینگ می‌داند، و نه یک آسیب‌پذیری در محصول خود.
کاسیدی می‌گوید: «من خوشحال هستم که LastPass به این موضوع رسیدگی کرده است، اما کار پس از آن اتفاق افتاد که من آن را در میان عموم مطرح کردم. این مثالی خوب از مواردی است که افشای مشکلی امنیتی در ملاء عام موجب اصلاح آن خواهد شد. در کل من فکر نمی‌کنم که صنعت در برابر حملات فیشینگ به خوبی مشکلات مربوط به امنیت نرم‌افزارها پاسخ می‌دهد.»
کاسیدی می‌گوید که کلید موفقیت حمله به LastPass پیام‌هایی است که در صفحه‌ی مرورگر نمایش داده می‌شود، تکثیر این پیام‌ها ساده است، به ویژه در مرورگر گوگل کروم.
کاسیدی در وب‌گاه خود نوشته است: «از آنجا که LastPass کاربران را عادت داده است که به اطلاعیه‌هایی که در مرورگر نمایش داده می‌شوند، توجه کنند، آن‌ها کمتر می‌توانند، عاقلانه‌ رفتار کنند. صفحه‌ی ورود به سامانه‌ی LastPass و احراز هویت دو مرحله‌ای در نمای صفحه به خوبی نمایش داده می‌شوند.»
مهاجم با استفاده از یک رایانامه‌ی فیشینگ قربانی را به سمت وب‌گاهی که در آن حمله میزبانی می‌شود و یا وب‌گاهی که در برابر تزریق کد آسیب‌پذیر است، می‌کشاند. اگر LastPass در دستگاه قربانی در حال اجرا باشد، کاربر اطلاعیه‌ای دریافت خواهد کرد مبنی بر این‌که زمان ورود او منقضی شده است. اطلاعیه‌ی مهاجم شامل یک بنر است که او را به یک صفحه‌ی ورود جعلی می‌کشاند که از او تقاضای ورد اطلاعاتی کاربری را دارد. کارگزار مهاجم، API را در LastPass صدا می‌زند و به بررسی اعتبارنامه‌ی کاربر پرداخته و بررسی می‌کند که آیا احراز هویت دومرحله‌ای او فعال است یا خیر. اگر چنین باشد، قربانی به صفحه‌ای دیگر برای وارد کردن اطلاعات مربوط به مرحله دوم تأیید هویت او هدایت خواهد شد.
LastPass می‌گوید که در حال تجدیدنظر در وابستگی آن به دید مرورگر برای اطلاعیه‌هاست و بر روی گزینه‌هایی کار می‌کند که آن را دور بزند و از حملات فیشینگ مشابه جلوگیری کند. علاوه بر این او تصریح کرد که درخواستی به گوگل داده است تا راهی برای جلوگیری از سوءاستفاده در تکثیر و رونوشت اطلاعیه‌ها در کروم ارائه کند.
کاسیدی می‌گوید: «تا آنجا که به حملات فیشینگ مربوط می‌شود، این بدترین احتمال ممکن است. یک مهاجم تنها به وب‌گاه دسترسی ندارد، او همه‌ی رمزهای عبور، شماره‌های کارت‌های اعتباری و اسناد ذخیره‌شده را در آن را در اختیار می‌گیرد. ارزش LastPass به این است که همه‌ی ‌این موارد مخفی در یک جا قرار داشته و او از آن‌ها حفاظت می‌کند. آن‌ها این کار را انجام نمی‌دهند. به سختی ممکن است تصور کنیم، فیشینگ اثراتی شدیدتر از این هم داشته باشد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.