LastPass已采取措施阻止针对密码管理器的网页钓鱼攻击

安全研究员Sean Cassidy最近发现有针对热门密码管理器LastPass的钓鱼攻击，而这件事也已经引起了后者的注意。为了帮助减轻被钓鱼的风险，LastPass决定增加额外的步骤。Cassidy所说的“LostPass攻击”，是指在浏览器上显示的LastPass信息很容易伪造，在将受害者引诱至一个精心编造的恶意站点后，终端用户很难分辨它们的真假。

如果用于已经安装了LastPass，那么攻击者就会伪造一个登录过期的通知，欺骗用户需要重登陆。然后，它只需要静静等待用户输入登录凭证。即使用户设置了2步口令，也是如此照搬一遍。

在获取了用户的登录凭证之后，攻击者会窃取用户的所有其它密码，甚至在账户中安装一个后门（通过紧急联络功能）、或者禁用两步验证等。

在后续的文章中，LastPass表示已采取措施阻止恶意页面将用户踢出该密码管理器的登陆状态。

如此一来，即使恶意页面忽悠用户已登出，但在快速检查浏览器工具栏上的LastPass扩展之后，你就会知道自己其实并未登出。

此外，当用户忽略这一重要信息，并在非LastPass页面上输入主密码的时候，管理器就会弹出一个警示。

最后，即使攻击者仍然成功骗取到了LastPass的主密码，也是很难绕过该密码管理服务的电子邮件认证系统的（在未知设备或地点登录的时候，是需要用户授权的）。

[编译自：TechSpot]