HPE entre los líderes de almacenamiento de Gartner
Un nuevo (simple) sistema de ataque demuestra que el phishing aun es tarea pendiente en las empresas y expuso a los usuarios con sistema “blindado” de LastPass.
El avance de este ataque es bastante simple pero podría comprometer el administrador de contraseñas ampliamente utilizado LastPass y, con ello, la seguridad de quienes utilizan este software como repaldo.
Según explicó el CTO de Praesido Inc. en su blog, Sean Cassidy, LastPass que la empresa tiene que realizar un mayor esfuerzo para que los usuarios estén conscientes de las señales de posibles ataques.
“Notificaciones mostradas por una ventana del navegador en la versión 4.0 de LastPass puede ser falsas, engaños para que la gente divulgue sus credenciales de acceso e incluso arrebatando el código de acceso de una vez“, según explicó Cassidy quien habló también el sábado en una conferencia organizada por Shmoocon.
Cassidy ha lanzado una herramienta en GitHub llama LostPass que muestra cómo un atacante puede suplantar alertas de LastPass, con el tiempo engañando a un usuario renunciar a sus credenciales de inicio de sesión.
En una entrada de blog, Cassidy describe cómo LastPass alerta a los usuarios si están conectados fuera de la aplicación. Sin embargo, la alerta que se muestra a través de la ventana del navegador podría ser creada y activado por un atacante, para ver si pueden atraer a alguien a un sitio web malicioso.
Remedio para el mal
Este ataque de prueba de concepto compró el dominio “cromo-extensión .pw “, que es similar al protocolo de Chrome para crear las extensiones del navegador, con lo cual resulta bastante verosímil.
“Si se pulsa la alerta falsa de LostPass, a continuación, podría conducir al dominio malicioso que pide las credenciales del usuario. Si la autenticación de dos factores está activada, el token de acceso también podría ser robado. En ese momento, todas las contraseñas de la víctima pueden ser recogidos mediante la API de LastPass”, explicó Cassidy en su blog.
¿Lo peor? Al parecer aquellos clientes LastPass que tienen la autenticación de dos factores podrían haber sido más vulnerable al ataque.
“Muchas de las respuestas al problema de phishing son “formemos a los usuarios”, como si fuera su culpa que fueron atacados por phishing. La formación no es eficaz en la lucha contra el LostPass porque hay poca o ninguna diferencia en lo que se muestra al usuario”, afirmó el experto.
Cassidy destacó que LastPass envió una notificación por correo electrónico en un intento de difundir una nueva dirección de IP para sus conexiones.
“Pero esa alerta sólo se envía si una persona no tiene autenticación de dos factores activada, por lo que las tienen activadas no sabrán nada del un inicio de sesión sospechoso“, agregó Cassidy.
1 comentario