Mật khẩu LastPass dễ bị lộ trước kiểu tấn công lừa đảo mới

Theo Softpedia, dịch vụ quản lý mật khẩu của LastPass có thể bị hacker tấn công theo một cách khá đơn giản để thu thập mật khẩu chủ của nạn nhân.

Phát hiện mới của nhà nghiên cứu bảo mật Sean Cassidy cho thấy, mỗi khi một phiên hoạt động của ứng dụng quản lý mật khẩu LastPass trên trình duyệt kết thúc, ứng dụng này sẽ hiển thị thông báo tới người dùng không qua dạng 'nhúng' trên trang web. Trong trường hợp được kích hoạt, trang đăng nhập và xác thực 2 yếu tố (2FA) sau đó cũng sẽ được hiển thị theo cách này.

Xét về yếu tố bảo mật, đây là một sai lầm căn bản, do cách làm này sẽ khiến người dùng bị tấn công theo dạng nhúng mã độc vào nội dung web. Hình thức hack này thường có trong các vụ tấn công lừa đảo phishing nhắm vào người dùng sử dụng dịch vụ ngân hàng trên nền web.

Sau khi nghiên cứu lỗ hổng này, Cassidy đã xác nhận rằng hacker có thể lợi dụng cách hiển thị thông báo và yêu cầu đăng nhập của LastPass trên nền web nhằm thu thập lấy mật khẩu chủ của người dùng.

Công cụ hack đã được công bố trên mạng

Để lợi dụng lỗ hổng, Cassidy đã phát triển một công cụ có tên LostPass và đăng tải toàn bộ mã nguồn lên GitHub. Công cụ này cho phép hacker có thể thực hiện một cuộc tấn công phishing tự động nhắm vào người dùng LastPass và thu thập toàn bộ mật khẩu của họ thông qua mật khẩu chủ. Nhà nghiên cứu này cho rằng điều duy nhất mà tội phạm số cần làm chỉ là chuyển hướng người dùng tới các trang web hợp lệ nhưng lại bị mắc lỗ hổng XSS (nhúng mã chéo trang).

Trên các trang này, LostPass sẽ tận dụng lỗi XSS để phát hiện xem người dùng có cài LastPass hay không. Sau đó, đoạn mã độc này sẽ thực hiện đăng xuất người dùng thông qua một lỗi CSRF và hiển thị thông báo giả yêu cầu nạn nhân phải đăng nhập lại lần nữa. Khi được click, đoạn thông báo giả này sẽ hiển thị tiếp một cửa sổ đăng nhập giống hệt như cửa sổ gốc của LastPass. Người dùng sẽ tự cung cấp mật khẩu cho hacker thông qua cửa sổ mà không hề hay biết.

Ngay cả xác thực 2 yếu tố cũng không còn an toàn

Không chỉ dừng lại tại đây, hacker có thể đem kiểm tra thông tin đăng nhập vừa thu được trên API của LastPass, xác nhận tính xác thực của mật khẩu và thậm chí là yêu cầu người dùng đưa mã xác thực 2 yếu tố (nếu như nạn nhân đã bật tính năng này).

Nếu toàn bộ các thông tin mà người dùng cung cấp là chính xác và mã 2FA cũng là chính xác, hacker lại có thể sử dụng API của LastPass và thu thập toàn bộ mật khẩu được người dùng lưu trên dịch vụ của LastPass.

Công cụ LostPass hiện tại chỉ có thể tấn công vào người dùng Chrome, do Firefox và các trình duyệt khác sẽ hiển thị yêu cầu đăng nhập của LastPass trên các cửa sổ pop-up riêng biệt. Đoạn mã độc này cũng đã được thử nghiệm với phiên bản LastPass mới nhất (4.x).

LastPass đã không hành động kịp thời

Cassidy khẳng định đã liên hệ với LastPass vào tháng 11 vừa qua và đã được công ty này xác nhận rằng, lỗ hổng nói trên 'là một tấn công dạng lừa đảo chứ không phải là lỗ hổng trên LastPass'. LastPass sau đó cũng đã cố gắng giải quyết vấn đề bằng cách cảnh báo người dùng mỗi lần họ nhập mật khẩu chủ vào một trang web. Tuy vậy, theo Cassidy, cách giải quyết này là 'vô nghĩa' do ngay cả cảnh báo của LastPass cũng là một đoạn mã nhúng trên trang web, do đó có thể bị hacker ngăn chặn và xóa mất trước khi đến tay người dùng.

Thậm chí, cách tấn công này còn trở nên dễ dàng hơn rất nhiều nếu như hacker tạo ra các tên miền như 'chrome-extension.pw' để giả mạo trang quản lý extension của Chrome. Trình duyệt của Google sẽ không hề đưa ra thông báo lỗi nào khi truy cập vào các trang này.

Trên Firefox, Cassidy hiện cũng đang nghiên cứu biện pháp để hiển thị các cửa sổ pop-up bằng HTML và CSS để lừa người dùng rằng họ đang nhập mật khẩu vào cửa sổ LastPass thực. Trong thực tế, cửa sổ pop-up này vẫn là một phần trong trang web đã bị nhúng mã độc.

Một vài biện pháp giải quyết tạm thời

Theo Cassidy, cách để người dùng tự bảo vệ hiện thời là không đăng nhập lại vào LastPass trực tiếp trên trình duyệt, thay vào đó sử dụng ứng dụng chính để làm điều này. Bên cạnh đó, việc giới hạn IP sẽ có hiệu quả hơn là sử dụng xác thực 2 yếu tố. Người dùng cũng nên tắt các tính năng đăng nhập di động, lưu tất cả các lượt đăng nhập thành công và không thành công.

Lê Hoàng

TIN LIÊN QUAN

Thêm một tính năng thú vị sắp xuất hiện trên Android O

LastPass đã thông báo rằng họ đang làm việc để bổ sung tính năng “điền tự động” vào hệ điều hành Android O. Không rõ ngày nào tính năng này được...

Lỗi bảo mật khiến mọi tài khoản Facebook dễ dàng bị đánh cắp

Chuyên gia bảo mật người Ấn Độ Anand Prakash mới đây vừa phát hiện ra một lỗi an ninh trên mạng xã hội Facebook có thể cho phép hacker dễ dàng đánh cắp mọi tài khoản nếu...

Hacker hé lộ cách hack mọi tài khoản Facebook

Lỗ hổng trên mạng xã hội lớn nhất thế giới cho phép người dùng có thể lấy mật khẩu của bất kỳ tài khoản nào. Hiện lỗi này đã được vá.

Hacker Israel rao bán phần mềm hack được iPhone

NSO Group, một công ty chuyên bán phần mềm hack cho các chính phủ ngày 26-8 tuyên bố rằng họ có thể do thám các nhà báo và những nhà đối lập bằng cách khai thác lỗ hổng bảo mật trong phần mềm của iPhone.

Nhóm hacker mũ trắng Ấn Độ tuyên bố đã Hack thành công Facebook

Nhóm hacker mũ trắng Ấn Độ tuyên bố đã phát hiện một số trang beta của Facebook không có tính năng giới hạn số lần nhập mã xác nhận khi reset mật khẩu, cho phép họ tiến hành dò mã...

Phát hiện lỗi bảo mật khiến mọi tài khoản Facebook có thể bị hack

Một nhà nghiên cứu máy tính người Ấn Độ vừa phát hiện ra lỗi bảo mật nghiêm trọng trên Facebook tạo kẽ hở cho tin tặc dễ dàng xâm nhập tài khoản người dùng.

3 cách phòng tránh mất tài khoản Facebook

Facebook luôn là miếng mồi béo bở cho các cuộc tấn công lừa đảo của tội phạm mạng. Làm cách nào để hạn chế tối đa việc bị mất tài khoản Facebook?

THỦ THUẬT HAY

Tại sao màn hình Samsung bị vàng?Đây là nguyên do và cách chỉnh lại

Hiện tượng ám màn thường xảy ra trên các dòng điện thoại Samsung sử dụng màn hình tấm nền AMOLED. Vậy tại sao màn hình Samsung bị vàng? Cách chỉnh lại nó ra sao...

SQL Server 2017 trên Linux giúp tăng hiệu suất cho các công ty

Công ty tài chính dv01 đã tận dụng được những tính năng của SQL, biến các chuyên gia Linux của mình thành những người dùng đầu tiên của SQL Server 2017.

6 tiện ích cho Chrome để quản lý quá tải tab và tăng tốc điều hướng

Google Chrome là một trong các trình duyệt phổ biến nhất hiện nay và nó cũng gặp khó khăn với các vấn đề quản lý tab. Hãy sử dụng các tiện ích dưới đây để việc quản lý tab số lượng lớn trở nên đơn giản hơn.

Cài biểu tượng đồng hồ số trên màn hình chờ Windows 10

Khi chúng ta chưa tắt máy tính và không dùng, màn hình máy tính sau một thời gian theo thiết lập sẽ chuyển sang chế độ chờ. Trên chế độ này chúng ta có thể cho chạy ảnh hoặc các hiệu ứng khác, tuy nhiên bài viết này sẽ

Hướng dẫn cách chặn trang web trên Google Chrome

Google Chrome không được tích hợp sẵn tính năng chặn các trang web cụ thể; nhưng có nhiều phần mềm bổ sung mà bạn có thể cài đặt cho trình duyệt nhằm chặn bất kỳ website nào. Các tiện tích mở rộng và công cụ chặn trang

ĐÁNH GIÁ NHANH

Đánh giá nhanh đồng hồ thông minh Fossil Q Explorist

Đầu năm 2017 Fossil cho biết sẽ ra mắt hơn 300 mẫu đồng hồ thông minh, nghe mà choáng ngợp luôn, tất nhiên các sản phẩm sẽ trải dài trong chuỗi 14 thương hiệu mà Fossil sở hữu, ví dụ như Armani Exchange, Michael Kors,

Ưu nhược điểm và thông số kỹ thuật của Hyundai Elantra 2019

Hyundai Elantra 2019 bản nâng cấp giữa vòng đời sẽ trình làng tại “quê nhà” Hàn Quốc vào tháng 8/2018, dưới tên gọi Hyundai Avante. Theo trang tin ô tô Paultan (Malaysia), phiên bản nâng cấp của chiếc Hyundai Elantra

Toyota Sienna 2021 - Minivan nhưng lại

Toyota Sienna 2021 dường như đang muốn phá bỏ sự kỳ thị mà phần đông khách hàng đã dành cho những chiếc MPV trong nhiều thập kỷ vừa qua. Để đánh lừa người nhìn rằng Sienna là một chiếc SUV, Toyota đã nâng phần mui xe