So schützen Sie sich vor der neuen LastPass-Hack-Bedrohung

2024 Autor: Malcolm Clapton | [email protected]. Zuletzt bearbeitet: 2023-12-17 03:51

Gestern wurde eine echte Möglichkeit entdeckt, Daten aus dem beliebten Passwort-Manager LastPass zu stehlen. Wir empfehlen Ihnen, diesen Artikel zu lesen, um nicht auf den Köder hereinzufallen.

Wir verwenden viele Onlinedienste und Webanwendungen, von denen jede aus Sicherheitsgründen unterschiedliche Logins und Passwörter erfordert. Es ist unmöglich, sie alle im Kopf zu behalten, weshalb Passwortmanager weit verbreitet sind. Sie bieten eine zuverlässige Speicherung und bequeme Verwendung von Logins und Passwörtern nicht nur für Online-Dienste, sondern auch für Zahlungssysteme, Bankkonten usw. Daher kann das Durchsickern oder Knacken eines solchen Passwort-Managers für viele Benutzer zu einem großen Problem werden.

Eine der beliebtesten Apps dieser Art ist LastPass. Dies ist eine wirklich großartige Lösung, die sich im Laufe der Zeit und zahlreicher Hackerangriffe bewährt hat. Gestern entdeckte der Computersicherheitsspezialist Sean Cassidy jedoch die Möglichkeit eines Phishing-Angriffs auf LastPass. Er nannte es geschickt LostPass (verlorene Passwörter).

Kurz gesagt sieht die gefundene Schwachstelle so aus. Zunächst lockt der Angreifer Sie auf seine Seite, die eine gefälschte (!) Benachrichtigung anzeigt, dass Ihre Sitzung abgelaufen ist und erneut eingeloggt werden muss. Sie haben wahrscheinlich ähnliche Benachrichtigungen von LastPass gesehen.

Da die Benachrichtigung gefälscht ist, gelangen Sie durch Klicken auf die Schaltfläche "Erneut versuchen" zu einer speziell gestalteten Seite, die genau wie ein Standard-Anmelde- und Passwortformular von LastPass aussieht. Es wird sogar eine Adresse haben, die fast die gleiche ist wie die Browserdienstseiten, die von installierten Erweiterungen normalerweise geöffnet werden. Bis auf ein kleines Detail, das ich im Screenshot hervorgehoben habe. Ich bin mir sicher, dass die meisten Nutzer einer solchen Kleinigkeit keine Beachtung schenken werden.

Als nächstes geben Sie auf dieser Seite Ihren Benutzernamen und Ihr Passwort ein, um sich bei LastPass anzumelden, und sie fallen sofort in die Hände von Hackern. Infolgedessen haben letztere vollen Zugriff auf alle Ihre Websites und Anmeldeinformationen. Der Angriff funktioniert auch bei aktivierter Zwei-Faktor-Authentifizierung, nur die Aktionsfolge des Hackers geht noch einen Schritt weiter. Sie können mehr über die Funktionsweise von LostPass lesen (in englischer Sprache).

Natürlich fragen Sie sich, wie Sie sich vor dieser Gefahr schützen können. Bis die Entwickler von LastPass Schritte unternehmen, um solche Phishing-Angriffe zu verhindern, können Benutzer die Browsererweiterung dieses Dienstes vorübergehend deaktivieren. Ja, dies ist unpraktisch und zwingt Sie dazu, die erforderlichen Passwörter manuell von der LastPass-Webseite zu kopieren. Eine radikalere Option besteht darin, eine gleichwertige Alternative zum Speichern von Passwörtern und vertraulichen Daten zu finden.

Verwenden Sie noch LastPass oder sind Sie zu einem anderen Passwort-Manager gewechselt?