LastPass принял меры для отражения потенциальной фишинговой атаки. PoC-демонстрацию провели в прошедшие выходные на ShmooCon — хакерской конференции в Вашингтоне. Под прицелом злоумышленников могли оказаться учетные данные пользователей и другая информация, хранящаяся в известном менеджере паролей.

Исследователь Шон Кэссиди (Sean Cassidy), технический директор компании Praesidio, специализирующейся на безопасности облачных сервисов, провел демонстрацию атаки. Он смог подделать страницу ввода учетных данных практически «пиксель в пиксель», как сказал он сам. Описанная специалистом атака, получившая название LostPass, происходит следующим образом: на почту жертвы приходит поддельное письмо, содержащее ссылку на фишинговую страницу, на которой уже введен поддельный логин. На странице содержится уведомление о том, что предыдущая сессия пользователя истекла и ему нужно заново ввести пароль или код двухфакторной аутентификации. Заполучив учетные данные, мошенник может похитить пароли и другую информацию, хранящуюся в LastPass.

По следам презентации LastPass внес некоторые изменения в работу менеджера паролей: каждый раз, когда доступ к нему осуществляется с нового устройства, пользователю нужно пройти дополнительный этап верификации по email.

«Но это никак не помогает отразить атаку», — уточняет Кэссиди. По его словам, пользователи, подключившие в LastPass двухфакторную аутентификацию, еще больше подвержены атаке: до недавнего времени верификация по электронной почте требовалась только в том случае, если пользователь не подключал опцию двухфакторной аутентификации. Кэссиди утверждает, что в ходе атаки можно обманом заставить ввести данные двухфакторной аутентификации на фишинговой странице, а email-верификацию при этом можно обойти.

«Прежде, если у вас была подключена двухфакторная аутентификация, это еще больше ослабляло защиту, — сказал Кэссиди. — Дефолтное подтверждение по email — шаг в правильном направлении».

Представитель LastPass сообщил, что верификация по электронной почте при доступе с новых устройств или местоположений подключена по умолчанию с середины 2015 года.

«Тогда, однако, мы позволяли пользователям, использующим опцию двухфакторной аутентификации, пропускать этап дополнительной верификации, так как они уже имели дополнительный уровень защиты аккаунта в LastPass, — говорят в компании. — Но в свете исследования Кэссиди мы включили email-верификацию по умолчанию для всех пользователей, даже для тех, кто уже использует двухфакторную аутентификацию».

Кэссиди выпустил специальный тест, при помощи которого организации могут проверить свои аккаунты на стойкость к разработанной им атаке. Исследователь обнаружил уязвимость в прошлом октябре и в ноябре в частном порядке доложил о ней в LastPass. Сперва в LastPass не желали видеть в найденном изъяне уязвимость, предполагая, что это просто фишинговая атака.

«Я рад, что в LastPass занялись проблемой, но мне пришлось выложить информацию в публичный доступ, чтобы они всерьез взялись за дело, — сказал Кэссиди. — Это еще один хороший пример того, как открытая публикация информации о баге мотивирует компании исправлять уязвимости. На мой взгляд, в целом в этом отношении отрасль хуже реагирует на фишинговые атаки, если сравнивать с другими проблемами безопасности».

Атака LostPass стала возможной из-за того, что сообщение LastPass появляется в области просмотра веб-страницы. Его совершенно нетрудно скопировать, особенно в Google Chrome.

«LastPass приучил пользователей к тому, что в окне браузера могут время от времени появляться уведомления, — объясняет Кэссиди. — Экран ввода учетных данных и экран дополнительной аутентификации хорошо отображаются в окне браузера».

Потенциальный злоумышленник использует фишинговое сообщение, чтобы заманить  жертву на специально созданный сайт или на легитимный сайт, имеющий XSS-уязвимости. Если на компьютере жертвы установлен LastPass, пользователю будет продемонстрировано уведомление о том, что сессия истекла. Поддельное уведомление перенаправляет пользователя на фишинговый сайт, где он должен ввести учетные данные. Сервер атаки вызывает API LastPass, который отвечает за проверку учетных данных и подсказывает, подключена ли двухфакторная аутентификация. Если это так, пользователь попадает на другую страницу, где требуется ввести код двухфакторной аутентификации.

LastPass подтверждает, что попробует изменить уведомления в браузере и продолжит работать над изменениями, которые позволят избежать подобных фишинговых атак. Также разработчик обратится в Google, чтобы переосмыслить способ отображения уведомлений в области просмотра веб-страницы.

«Что касается фишинговой атаки — это наихудший сценарий, — подчеркнул Кэссиди. — У злоумышленника оказывается доступ не только к веб-сайту, но и ко всем паролям, номерам кредиток и документам, хранящимся в LastPass. LastPass позиционирует свой сервис как место, где можно хранить всю конфиденциальную информацию и не беспокоиться, так как сервис предлагает высочайшую степень защиты. Как показала практика, это не так. Мне трудно придумать более серьезные последствия возможной фишинговой атаки».

Категории: Мошенничество, Уязвимости