Cómo protegerse contra la nueva amenaza de la piratería LastPass

Ayer, se detectó la verdadera manera de robar datos de la popular gestor de contraseñas LastPass. Le recomendamos que lea este artículo, a fin de no caer en la trampa.

Utilizamos una variedad de servicios en línea y aplicaciones Web, cada uno de los cuales es necesaria por razones de seguridad tengan diferentes nombres de usuario y contraseñas. Mantenerlos a todos en su cabeza es imposible, por lo tanto gestores de contraseña generalizadas. Ellos proporcionan un almacenamiento seguro y el uso conveniente de nombres de usuario y contraseñas no sólo a los servicios en línea, sino también a los sistemas de pago, cuentas bancarias y así sucesivamente. Por lo tanto, las fugas o la piratería del administrador de contraseñas pueden ser un gran problema para muchos usuarios.

Una de las aplicaciones más populares de este tipo es LastPass. Realmente es una excelente solución que ha pasado la prueba del tiempo y numerosos ataques de piratas informáticos. Ayer, sin embargo, un experto en seguridad informática Shaun Cassidy (Sean Cassidy) se ha encontrado que es posible ataques de phishing en LastPass. Él lo llamó ingeniosamente LostPass (contraseñas perdidas).

En resumen, las vulnerabilidades encontraron los siguientes. En primer lugar, un atacante le engaña a un sitio web que muestra falso (!) Una notificación de que su sesión ha caducado y debe conectarse de nuevo. Usted probablemente ha visto estos correos electrónicos de LastPass.

Desde la notificación falsa, haga clic en Probar de nuevo el botón te llevará a una página especialmente creada que se ve como una forma estándar para ingresar los LastPass de usuario y contraseña. Incluso dirección será casi el mismo, que por lo general tienen páginas oficiales del navegador abiertas por las extensiones instaladas. A excepción de un pequeño detalle, que he resaltado en la pantalla. Estoy seguro de que la mayoría de los usuarios no prestan atención a tales minucias ninguna atención.

A continuación, entrar en esta página, el nombre de usuario y contraseña para iniciar sesión en LastPass, y de inmediato se caiga en manos de los piratas informáticos. Como resultado, estos últimos reciben el pleno acceso a todos los sitios y los datos de la cuenta. El ataque funciona incluso si se ha habilitado la autenticación de dos factores, sólo la secuencia de acciones que el hacker será un paso más. Más detalles sobre el trabajo pueden ser leídos LostPass aquí (En Inglés).

Por supuesto, usted tiene una pregunta, cómo protegerse contra este peligro. Mientras que los desarrolladores LastPass no se toman medidas para prevenir un ataque tan phishing, los usuarios pueden desactivar temporalmente la extensión basada en navegador de este servicio. Sí, es incómodo y hacer lo necesario para copiar manualmente sus contraseñas con la página web de LastPass. Una opción más radical sería encontrar un equivalente alternativas para almacenar contraseñas y datos sensibles.

¿Todavía utiliza LastPass o ya han cambiado a cualquier otro gestor de contraseñas?