Уязвимы ли браузеры к фишинговой атаке с помощью мастер-пароля?

Может ли веб-сайт запустить фишинговую атаку на мастер-пароль браузера, аналогичную фишинговому эксплойту Lostpass против LastPass?


browser security phishing
person Richard Bychowski    schedule 11.03.2016    source источник
comment
Я голосую за то, чтобы закрыть этот вопрос как не по теме, потому что он относится к security.stackexchange.com   -  person SilverlightFox    schedule 14.03.2016

Ответы (1)


arrow_upward
1
arrow_downward

Если фишинговая атака запрограммирована на собственность. Идея фишинговой атаки заключается в том, чтобы заставить вас передать учетные данные.

Решение Lastpass — это облачное решение. Фишинг представлял собой сайт, размещенный где-то злоумышленником, который имитирует решение lastpass. пользователь думает, что заходит на сайт lastpass, а на самом деле устанавливает логин и пароль на поддельный сайт. Затем фишинговая атака успешно получила имя пользователя и пароль к учетной записи Lastpass жертвы.

Пока от вас требуется передать учетные данные на веб-сайте, фишинг этой схемы будет работать, при условии, что злоумышленник может «убедить» вас в том, что вы находитесь на реальном сайте желаемой цели злоумышленника.

Существуют и другие менеджеры паролей, которые хранятся только на устройстве/ПК и не будут работать в этих случаях, но могут стать жертвами других типов атак.

Надеюсь это поможет.

person arcee123    schedule 11.03.2016
comment
Пароли диспетчера паролей FireFox хранятся только на устройстве (хорошо, есть синхронизация FireFox), но диалоговое окно FireFox всплывает из браузера, и я предполагаю, что его можно подделать. Если я использую мастер-пароль где-либо еще, это может быть проблемой безопасности, если она будет перехвачена вредоносным веб-сайтом. - person Richard Bychowski; 11.03.2016
comment
Атака «человек посередине» может быть достаточно изощренной, чтобы затем передать учетные данные правильному приложению и действовать так, как будто ничего не произошло. Таким образом, вы не вызовете подозрений, но при этом предоставите им свои учетные данные. - person Dane; 11.03.2016
comment
Да. Здесь используются правильно настроенные маршрутизаторы и брандмауэры. Идея состоит в том, чтобы не дать кому-либо увидеть веб-сайт, который не размещен там, где он принадлежит. Если вы внимательно посмотрите в статье, которую вы упомянули в своем вопросе, фишинговый сайт имеет другой URL-адрес, чем фактический сайт LastPass. Пока злоумышленник может заставить вас ввести свои учетные данные, это успешный фишинг. Например, на рыбалке... положите наживку (поддельный веб-сайт) и посмотрите, не клюнет ли кто-нибудь. - person arcee123; 11.03.2016
comment
Место для обсуждения с вашими пользователями или семьей. Всегда проверяйте URL-адреса. - person arcee123; 11.03.2016
comment
@arcee123. Да, классический фишинг — это когда веб-сайт X подделывает веб-сайт Y, чтобы получить пароль для веб-сайта Y. Мой вопрос касается того, может ли какой-либо веб-сайт подделать всплывающее окно собственного мастер-пароль и захватить мастер-пароль браузера. Смягчение заключается в том, что мастер-пароль не нужно использовать в качестве пароля где-либо еще в Интернете, но я бы сказал, что он, вероятно, будет таким же, как цепочка ключей ssh ​​или пароль для входа в устройство или любой пароль, который необходимо запомнить и не в брелке. Надеюсь, это ясно. На мой взгляд, я думаю, что это правдоподобная атака, поэтому я не уверен, почему я не нашел обсуждения, посвященного этому. - person Richard Bychowski; 12.03.2016