LastPass anfällig für Phishing-Angriffe

Manche Nutzer verwenden Passwort-Manager für die Speicherung ihrer Kennwörter. Wie sich herausstellt, ist der Passwort-Manager LastPass für Phishing-Angriffe anfällig.


Anzeige

Kennwort-Manager lassen sich sowohl lokal als Anwendungen auf dem Betriebssystem installieren, oder in Form von Betriebssystemfunktionen oder als Online-Dienst nutzen. So haben sowohl Mac OS X als auch Windows eigene Manager zur Verwaltung von Schlüsselwörter. Keepass und LastPass sind Beispiele für solche externen Kennwort-Verwaltungsprogramme, die lokal bzw. im Web funktionieren.

So bequem es ist, Kennwörter in einem "Safe" in Form eines Passwort-Managers zu speichern – gelingt es Dritten, das Master-Passwort zu knacken, haben diese natürlich Zugriff auf alle Daten von Benutzerkonten samt Zugangsnamen und Kennwörter.

Mein Beitrag Vorsicht bei 1Password weist darauf hin, dass eine solche Anwendung oder App nur zu dem Zweck programmiert wurde, um die Kennwörter und Anmeldedaten weiterzureichen – quasi der Wolf im Schafspelz – wenn auch im aktuellen Fall die Implementierung lausig war, so dass Kennwörter im Klartext übertragen wurden.

Und im Beitrag Trojaner attackiert Passwort-Manager hatte ich vor einiger Zeit über das Risiko berichtet. Ein Trojaner war in der Lage, das Keepass Master-Kennwort auszuspähen und den Passwort-Safe des Programms an die Kriminellen zu übertragen.

Wer die in Windows enthaltene Anmeldeinformationsverwaltung verwendet, kann diese als Passwort-Safe für das Internet verwenden (siehe auch mein Beitrag Windows 8: Schutz der digitalen Identität). Unschön ist, dass man die Dateien sichern und zurücksichern kann, was möglicherweise eine Missbrauchsmöglichkeit bietet. Hier verweise ich auf den recht aktuellen Malwarebytes-Beitrag The Windows Vaults, der auf das Thema eingeht.

Und LastPass ist auch kritisch zu sehen

Auf der LastPass-Webseite heißt es: "LastPass merkt sich Ihre Passwörter, damit Sie sich auf die wichtigen Dinge im Leben konzentrieren können." Man kann eine App oder einen Browser verwenden, um sich mit einer E-Mail-Adresse und einem "starken" Master-Passwort am LastPass-Konto anzumelden, also dort, wo die Kennwörter für Online-Angebote verwaltet werden.

(Quelle: LastPass)


Anzeige

Wenn diese Anmeldung ausgehebelt wird, ist der Passwort-Safte geknackt. Bereits im Sommer 2015 hatte ich den Beitrag LastPass gehackt!, wo ruchbar wurde, dass deren Datenbank gehackt wurde. Damals wurde zwar betont, dass die verwendeten Passwort-Container sicher seien. Aber die Nutzer wurden aufgefordert, ihre Master-Passwörter zu ändern.

Es ist leider noch eine andere Angriffsmethode denkbar. Auf der letzten Samstag stattgefundenen ShmooCon hat nun Sean Cassidy, CTO von Praesidio, darauf hingewiesen, dass LastPass anfällig für Phishing sei. Das Ganze hat er in seinem Blog in diesem englischsprachigen Beitrag beschrieben. Das Problem: LastPass zeigt Meldungen im Browser an, die Phisher auch fälschen können. Gelingt es einem Phisher solche Meldungen anzuzeigen, kann er dem Benutzer das LastPass-Anmeldeformular einblenden und zur Eingabe seiner Zugangsdaten aufzufordern.

(Quelle: Sean Cassidy)

Laut Cassidy hat LastPass eine eigene API, die auch remote genutzt werden kann. Cassidy hat diesen Ansatz genutzt, um eine Phishing-Attacke zu demonstrieren. Wenn der Benutzer eine Website mit entsprechendem Code besucht, wird ihm das Anmeldeformular für die LastPass-Anmeldung gezeigt. Gibt er seine Zugangsdaten ein, fischt die Webseite diese ab und hat damit das Master-Passwort zum Zugriff auf den Passwort-Safe. Details sind in diesem Artikel nachzulesen. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.