Tweestapsverificatie van LastPass makkelijk te omzeilen
Volgens James Lyne van securitybedrijf Sophos wordt 2016 het jaar van de phishingaanvallen. Dergelijke oplichters worden immers steed professioneler, waardoor valse berichten bijna niet meer te onderscheiden zijn van echte. Ook wachtwoorden- en documentenkluis LastPass mag dit nu aan den lijve ondervinden.
De aanvallen worden door securityonderzoekers toepasselijk ‘LostPass’ genoemd. Via de phishingaanval komen de criminelen namelijk in bezit van alle verschillende wachtwoorden die je erin hebt gestopt. Die kluis ontgrendel je dan met een masterwachtwoord. Dankzij een tweestapsverificatie zou dit systeem normaal gezien onontgrendelbaar moeten zijn.
Pixel per pixel
Schobbejakken die de kluis willen kraken, gebruiken hiervoor een website die de gebruiker een afbeelding toont om te zeggen dat hij werd afgemeld bij LastPass. Om zich opnieuw aan te melden, moet hij op de loginknop drukken. Deze boodschap is zo overtuigend nagemaakt van de echte wabsite, dat veel mensen hier al intrappen. Het is echter nog overtuigender doordat de website een API van de kluis zo weet uit te buiten zodat sommige gebruikers ook echt worden uitgelogd bij LastPass.
Wanneer gebruikers zich vervolgens inloggen via de slechte site, worden hun inloggegevens genoteerd en automatisch getoetst bij de echte dienst om na te kijken of ze kloppen en na te gaan of de gebruiker tweestapsverificatie heeft ingeschakeld. Wanneer dat het geval is, kan de slechte site hierom vragen en weerom de ingegeven verificatiecode toetsen op de originele website.
Het geheel is zo overtuigend, mede omdat elke pixel exact werd nagemaakt door de cybercrimineel. De valse pagina is haast niet meer te onderscheiden van een echte. LastPass reageerde op de dreiging met een bericht dat de gebruikers moet waarschuwen voor dergelijke praktijken. Onderzoekers noemen de maatregel echter ontoereikend en eerder naïef.