LastPass ha impulsado la seguridad de sus usuarios después de que un investigador de seguridad alertó a la compañía de un ataque de phishing que se ideó para robar inicio de sesión y dos factores credenciales de autenticación de los usuarios.
Sean Cassidy, director de tecnología de Praesidio, demostró el ataque de phishing, que él llama «LostPass,» la semana pasada en ShmooCon.
LostPass funciona así: Los usuarios son atraídos a un sitio web malicioso, momento en el que se muestra una notificación de LastPass falsa. Se engaña a los usuarios haciéndoles creer que han cerrado su sesión del servicio y muestra una solicitúd para inicio de sesión de nuevo.
Cuando los usuarios introducen su contraseña y datos de autenticación de dos factores, si tienen 2FA encendido, el estafador captura los datos y puede controlar la cuenta.
«Creemos que este es un problema muy grave por dos razones principales,» dijo el CEO Praesidio Edgardo Nazario.
«En primer lugar, LastPass es un gestor de contraseñas muy popular», dijo a TechNewsWorld. «En segundo lugar, el ataque de phishing que descubrimos es bastante simple de implementar y ejecutar.»
Alentado Seguridad
Una vez que una cuenta ha sido comprometida, dijo Nazario, un atacante puede descargar toda la información de un usuario.
Por otra parte, el intruso puede crear una puerta trasera en la cuenta a través función de contacto de emergencia de LastPass, así como autenticación de dos factores, para deshabilitar y agregar a la cuenta un dispositivo de confianza que pertenece al atacante, señaló.
Después de consultar con Cassidy, LastPass hizo una serie de cambios para frustrar cualquier intento de duplicar su trabajo, cambio de sus requisitos de verificación cuando se accede a una cuenta desde una nueva ubicación o dispositivo.
Ahora la verificación de correo electrónico es un valor por defecto para todos los usuarios, incluidos aquellos con autenticación de dos factores activada. Así que si los estafadores hacen robar las credenciales de un usuario, todavía tendrían que acceder a la cuenta de correo electrónico del usuario para completar el proceso de inicio de sesión.
«Al exigir la verificación para ubicaciones o dispositivos desconocidos, nos hemos asegurado de que los usuarios estén protegidos de este ataque,» Administrador de Ámbar LastPass marketing Gott Acero TechNewsWorld.
Vector Familiar
En términos generales, el esquema de phishing LastPass es familiar.
«Esto es esencialmente igual que cualquier ataque de phishing en un banco u otro servicio Web», dijo Andrew Sudbury, co-fundador y CTO de Abine. «Muestra a la gente una pantalla de conexión falsa y les consigue identificarse.»
Sin embargo, lo que hace que sea un poco más difícil para los usuarios es que aparezca la pantalla de inicio de sesión en la parte superior de una página web y no muestre una dirección URL «, así que no es tan fácil de decir si hay algo raro en ello», dijo a TechNewsWorld.
«Todo lo que trata de hacer la autenticación en la parte superior de una página Web es más vulnerable porque es más difícil de decir si viene desde el lugar correcto», añadió Sudbury.
Aunque Cassidy escogió LastPass para demostrar el ataque de phishing, se podría modificar fácilmente para comprometer a los usuarios de otros sitios.
«En teoría, cualquier aplicación basada en la Web puede ser objetivo de un ataque similar, incluyendo otros gestores de contraseña», dijo Giovanni Vigna, co-fundador y CTO de lastline.
Los descuidos se pagan
«A medida que las aplicaciones Web se hacen más seguras, los ciberdelincuentes cambian su enfoque de piratería en aplicación a la piratería del usuario», dijo a TechNewsWorld.
Los usuarios que podrían ser víctimas de un ataque LastPass son «lo suficientemente sofisticados como para utilizar un gestor de contraseñas, pero tampoco lo suficientemente paranoicos para identificar los sitios web falsos que debe visitar para caer en la trampa LostPass», señaló Jonathan Sander, vicepresidente de estrategia de productos para Software Lieberman.
Los usuarios deben prestar atención a donde envían las solicitudes de información sensible que está viendo, advirtió Vigna del lastline.
«Cada vez que un navegador solicita información crítica de seguridad, el usuario debe determinar claramente la procedencia de dicha solicitud. Si la procedencia no puede determinarse con claridad, entonces la información no debe ser proporcionada,» dijo.
«Por supuesto, esto es difícil de lograr, ya que siempre estamos corriendo a través de las páginas, mensajes y cuadros de pop-up», añadió Vigna.
Riesgos de navegador
El ataque LastPass es un ejemplo de los riesgos de seguridad en expansión en navegadores Web representan para los consumidores, Sander de Lieberman TechNewsWorld.
«La misma flexibilidad que está haciendo crecer la Internet también está creando el riesgo», dijo.
«La gente le encanta que se puede hacer más y más en sus navegadores,» observó Sander, «pero lo basado en un navegador significa que los atacantes pueden utilizarlo para una manera de engañarlos.»