Mật khẩu LastPass dễ bị lộ trước kiểu tấn công lừa đảo mới

Theo Softpedia, dịch vụ quản lý mật khẩu của LastPass có thể bị hacker tấn công theo một cách khá đơn giản để thu thập mật khẩu chủ của nạn nhân.

Phát hiện mới của nhà nghiên cứu bảo mật Sean Cassidy cho thấy, mỗi khi một phiên hoạt động của ứng dụng quản lý mật khẩu LastPass trên trình duyệt kết thúc, ứng dụng này sẽ hiển thị thông báo tới người dùng không qua dạng 'nhúng' trên trang web. Trong trường hợp được kích hoạt, trang đăng nhập và xác thực 2 yếu tố (2FA) sau đó cũng sẽ được hiển thị theo cách này.

Xét về yếu tố bảo mật, đây là một sai lầm căn bản, do cách làm này sẽ khiến người dùng bị tấn công theo dạng nhúng mã độc vào nội dung web. Hình thức hack này thường có trong các vụ tấn công lừa đảo phishing nhắm vào người dùng sử dụng dịch vụ ngân hàng trên nền web.

Sau khi nghiên cứu lỗ hổng này, Cassidy đã xác nhận rằng hacker có thể lợi dụng cách hiển thị thông báo và yêu cầu đăng nhập của LastPass trên nền web nhằm thu thập lấy mật khẩu chủ của người dùng.

Công cụ hack đã được công bố trên mạng

Để lợi dụng lỗ hổng, Cassidy đã phát triển một công cụ có tên LostPass và đăng tải toàn bộ mã nguồn lên GitHub. Công cụ này cho phép hacker có thể thực hiện một cuộc tấn công phishing tự động nhắm vào người dùng LastPass và thu thập toàn bộ mật khẩu của họ thông qua mật khẩu chủ. Nhà nghiên cứu này cho rằng điều duy nhất mà tội phạm số cần làm chỉ là chuyển hướng người dùng tới các trang web hợp lệ nhưng lại bị mắc lỗ hổng XSS (nhúng mã chéo trang).

Trên các trang này, LostPass sẽ tận dụng lỗi XSS để phát hiện xem người dùng có cài LastPass hay không. Sau đó, đoạn mã độc này sẽ thực hiện đăng xuất người dùng thông qua một lỗi CSRF và hiển thị thông báo giả yêu cầu nạn nhân phải đăng nhập lại lần nữa. Khi được click, đoạn thông báo giả này sẽ hiển thị tiếp một cửa sổ đăng nhập giống hệt như cửa sổ gốc của LastPass. Người dùng sẽ tự cung cấp mật khẩu cho hacker thông qua cửa sổ mà không hề hay biết.

Ngay cả xác thực 2 yếu tố cũng không còn an toàn

Không chỉ dừng lại tại đây, hacker có thể đem kiểm tra thông tin đăng nhập vừa thu được trên API của LastPass, xác nhận tính xác thực của mật khẩu và thậm chí là yêu cầu người dùng đưa mã xác thực 2 yếu tố (nếu như nạn nhân đã bật tính năng này).

Nếu toàn bộ các thông tin mà người dùng cung cấp là chính xác và mã 2FA cũng là chính xác, hacker lại có thể sử dụng API của LastPass và thu thập toàn bộ mật khẩu được người dùng lưu trên dịch vụ của LastPass.

Công cụ LostPass hiện tại chỉ có thể tấn công vào người dùng Chrome, do Firefox và các trình duyệt khác sẽ hiển thị yêu cầu đăng nhập của LastPass trên các cửa sổ pop-up riêng biệt. Đoạn mã độc này cũng đã được thử nghiệm với phiên bản LastPass mới nhất (4.x).

LastPass đã không hành động kịp thời

Cassidy khẳng định đã liên hệ với LastPass vào tháng 11 vừa qua và đã được công ty này xác nhận rằng, lỗ hổng nói trên 'là một tấn công dạng lừa đảo chứ không phải là lỗ hổng trên LastPass'. LastPass sau đó cũng đã cố gắng giải quyết vấn đề bằng cách cảnh báo người dùng mỗi lần họ nhập mật khẩu chủ vào một trang web. Tuy vậy, theo Cassidy, cách giải quyết này là 'vô nghĩa' do ngay cả cảnh báo của LastPass cũng là một đoạn mã nhúng trên trang web, do đó có thể bị hacker ngăn chặn và xóa mất trước khi đến tay người dùng.

Thậm chí, cách tấn công này còn trở nên dễ dàng hơn rất nhiều nếu như hacker tạo ra các tên miền như 'chrome-extension.pw' để giả mạo trang quản lý extension của Chrome. Trình duyệt của Google sẽ không hề đưa ra thông báo lỗi nào khi truy cập vào các trang này.

Trên Firefox, Cassidy hiện cũng đang nghiên cứu biện pháp để hiển thị các cửa sổ pop-up bằng HTML và CSS để lừa người dùng rằng họ đang nhập mật khẩu vào cửa sổ LastPass thực. Trong thực tế, cửa sổ pop-up này vẫn là một phần trong trang web đã bị nhúng mã độc.

Một vài biện pháp giải quyết tạm thời

Theo Cassidy, cách để người dùng tự bảo vệ hiện thời là không đăng nhập lại vào LastPass trực tiếp trên trình duyệt, thay vào đó sử dụng ứng dụng chính để làm điều này. Bên cạnh đó, việc giới hạn IP sẽ có hiệu quả hơn là sử dụng xác thực 2 yếu tố. Người dùng cũng nên tắt các tính năng đăng nhập di động, lưu tất cả các lượt đăng nhập thành công và không thành công.

Lê Hoàng

TIN LIÊN QUAN

Thêm một tính năng thú vị sắp xuất hiện trên Android O

LastPass đã thông báo rằng họ đang làm việc để bổ sung tính năng “điền tự động” vào hệ điều hành Android O. Không rõ ngày nào tính năng này được...

Lỗi bảo mật khiến mọi tài khoản Facebook dễ dàng bị đánh cắp

Chuyên gia bảo mật người Ấn Độ Anand Prakash mới đây vừa phát hiện ra một lỗi an ninh trên mạng xã hội Facebook có thể cho phép hacker dễ dàng đánh cắp mọi tài khoản nếu...

Hacker hé lộ cách hack mọi tài khoản Facebook

Lỗ hổng trên mạng xã hội lớn nhất thế giới cho phép người dùng có thể lấy mật khẩu của bất kỳ tài khoản nào. Hiện lỗi này đã được vá.

Hacker Israel rao bán phần mềm hack được iPhone

NSO Group, một công ty chuyên bán phần mềm hack cho các chính phủ ngày 26-8 tuyên bố rằng họ có thể do thám các nhà báo và những nhà đối lập bằng cách khai thác lỗ hổng bảo mật trong phần mềm của iPhone.

Nhóm hacker mũ trắng Ấn Độ tuyên bố đã Hack thành công Facebook

Nhóm hacker mũ trắng Ấn Độ tuyên bố đã phát hiện một số trang beta của Facebook không có tính năng giới hạn số lần nhập mã xác nhận khi reset mật khẩu, cho phép họ tiến hành dò mã...

Phát hiện lỗi bảo mật khiến mọi tài khoản Facebook có thể bị hack

Một nhà nghiên cứu máy tính người Ấn Độ vừa phát hiện ra lỗi bảo mật nghiêm trọng trên Facebook tạo kẽ hở cho tin tặc dễ dàng xâm nhập tài khoản người dùng.

3 cách phòng tránh mất tài khoản Facebook

Facebook luôn là miếng mồi béo bở cho các cuộc tấn công lừa đảo của tội phạm mạng. Làm cách nào để hạn chế tối đa việc bị mất tài khoản Facebook?

THỦ THUẬT HAY

Cách biến trang web thành ứng dụng Mac bằng Epichrome

Nếu là người dùng Mac và muốn có một ứng dụng desktop cho ứng dụng web yêu thích thì Epichrome có thể giúp bạn biến ứng dụng web thành ứng dụng standalone trên máy Mac.

Cách ẩn thư mục bí mật khỏi kết quả tìm kiếm trên Windows 11

Bạn có những thư mục quan trọng và muốn ẩn thư mục đó khỏi kết quả tìm kiếm trên Windows 11 nhưng không biết làm thế nào? Dưới đây sẽ hướng dẫn các bạn cách để thực hiện.

10 cách chống nóng cho laptop hiệu quả

Laptop quá nóng có thể ảnh hưởng đến tuổi thọ, hiệu suất của máy cũng như cảm giác của người dùng. Làm sao để giảm nóng cho laptop, khiến nó mát hơn? Mời bạn tham khảo bài viết này nhé.

Cách dùng iPhone để biết mật khẩu wifi xung quanh

Bạn muốn truy cập wifi nhưng không biết mật khẩu wifi hàng xóm, bài viết dưới đây sẽ hướng dẫn cho bạn dùng iPhone để biết mật khẩu wifi xung quanh.

Cách tắt âm thanh trên Zoom để bạn tập trung vào những việc cần làm

Đôi khi bạn sẽ không muốn nghe, theo dõi cuộc họp Zoom vì một số lý do riêng của mình. Vậy thì sau đây sẽ là cách tắt âm thanh trên Zoom cực nhanh chóng cho bạn...

ĐÁNH GIÁ NHANH

Đánh giá chi tiết Infiniti QX60: SUV hạng sang 7 chỗ giá hơn 3 tỷ đồng

Infiniti QX60 là mẫu xe mang lại nhiều điều bất ngờ với những ưu điểm ở trang bị tiện nghi, thiết kế ngoại thất và động cơ. Dung hòa giữa 2 yếu tố thể thao và sự êm ái tưởng chừng chẳng hề liên quan.

Trên tay iPhone 13 Pro Max: Cụm camera lớn hơn, thiết kế không quá khác biệt

iPhone 13 Pro Max là chiếc smartphone cao cấp nhất hiện nay của Apple được trang bị cấu hình khủng và nhiều tính năng ấn tượng. Mời bạn cùng chúng tôi trên tay iPhone 13 Pro Max để cùng xem chiếc smartphone này có gì

Snapdragon 845 và Exynos 9810 có những điều gì khác biệt?

Mới đây, Samsung vừa chính thức trình làng vi xử lý cao cấp nhất trong năm nay của hãng là Exynos 9810 thuộc Series Exynos 9.