Popularni program za upravljanje lozinkama, LastPass, uveo je email verifikacije pokušaja logiranja sa nepoznatih lokacija i uređaja. Ovaj potez stiže nakon što je sigurnosni istraživač Sean Cassidy otkrio način za sprovođenje jednostavne phishing kampanje za krađu podataka za logiranje u LastPassu.

Kampanja se zasniva na preciznom kopiranju notifikacijskih poruka koje prikazuje nedavno objavljeni LastPass 4.0. Poruke je moguće lažirati zato što se prikazuju unutar web browsera, te bi se korisnika moglo preusmjeriti na zlonamjerne stranice koje ih sadrže. Ako bi lažirane poruke zahtijevale ponovno logiranje u LastPass, korisnik bi ništa ne sumnjajući unio svoje podatke i glavnu lozinku u lažiranu formu.

Stoga će servis ubuduće, pored na početku navedene mjere, blokirati i pokušaje zlonamjernih stranica da odlogiraju korisnike. U slučaju primanja lažirane poruke o potrebi za ponovnim logiranjem, korisnik u browseru može lako vidjeti da je zapravo još uvijek logiran. Osim toga, program će vas od sada upozoravati ako master lozinku unesete na nelegitimnu stranicu.

Cassidy je svoje otkriće, koje je nazvao LostPass, demonstrirao na američkoj hakerskoj konferenciji ShmooCon, a njegove detalje možete pročitati na Cassidyjevom blogu.

1/1