Пользователи Bitwarden в опасности после обнаружения потенциальной фишинговой аферы
27 января 2023 г.Ряд известных менеджеров паролей были подделаны в ходе новых фишинговых кампаний, в том числе такие, как Bitwarden. — предупредили эксперты.
Очень убедительная подделка настоящего веб-сайта Bitwarden с URL-адресом «bitwardenlogin.com» появилась в результатах поиска Google Ads, подталкивая его прямо к началу, когда пользователи выполняли поиск по фразе «менеджер паролей Bitwarden».
Домен в объявлении был 'appbitwarden.com', который, к счастью, теперь исчез из результатов Google, и сайт, по-видимому, закрылся.
Фишинг Google Реклама
Пользователи сообщили, что ранее на этой неделе наткнулись на фишинговую рекламу на Reddit. и официальные форумы Bitwarden, выражающие обеспокоенность тем, насколько похожи поддельная страница и URL выглядели как настоящие.
Один пользователь даже отметил, что на поддельном веб-сайте присутствовал сертификат Secure Sockets Layer (SSL), который позволяет использовать зашифрованное соединение и обычно воспринимается как признак безопасного и законного веб-сайта.
Bleeping Computer попытался протестировать поддельную страницу, введя поддельные учетные данные Bitwarden, чтобы увидеть, что произойдет, и обнаружил, что «фишинговая страница будет принимать учетные данные и после отправки перенаправлять пользователей на законную страницу входа в Bitwarden».
Однако фишинговый сайт был закрыт до того, как он не смог подтвердить, что произошло бы с реальными учетными данными, в частности, будет ли он «попытаться украсть сеансовые файлы cookie (токены аутентификации), поддерживаемые MFA, как многие расширенные фишинговые страницы».
Это относится к фишинговым атакам злоумышленника посередине (AiTM), которые используют прокси-серверы для доставки приглашения MFA на реальный веб-сайт, который отправляет его обратно на фишинговый сайт, который затем проксирует это пользователю. Затем процесс повторяется снова для фактического ввода кода MFA, при этом ни одна из сторон не знает, что процесс аутентификации перехватывается злоумышленником.
Затем реальный сайт сохраняет файл cookie сеанса, который содержит информацию об аутентификации для этого сеанса. Этот файл cookie украден субъектом угрозы, чтобы он мог снова обмануть жертву, не выполняя еще один запрос MFA.
Недавно было обнаружено, что другие менеджеры паролей были вовлечены в фишинговые кампании Google Ads. Исследователь безопасности MalwareHunterTeam обнаружил ту же тактику, которая использовалась для подделки 1Password, еще одного очень популярного менеджера.
Google Ads был взломан для различных злонамеренных целей, помимо фишинга. Недавние истории показали, что его использовали в качестве стартовой площадки для кражи учетных данных и взлома бизнес-сетей с помощью кражи личных данных.
Эта новость последовала за недавней волной атак на менеджер паролей, в первую очередь LastPass. , один из крупнейших менеджеров паролей, где были украдены хранилища пользователей, а ключи, используемые для их шифрования, также не были гарантированно безопасными, а это означало, что хакеры потенциально могли видеть все их пароли.
Хранилища паролей пользователей Norton LifeLock также были скомпрометированы в результате атаки с подменой учетных данных. и Passwordstate также пострадали от нарушения безопасности.
Лучший способ защитить свои хранилища паролей, помимо осторожности в отношении любых фишинговых веб-сайтов, — настроить MFA и использовать надежный пароль. Поскольку этот пароль необходимо запомнить, так как он не может храниться в самом хранилище, лучше всего использовать случайную строку слов, которую вы можете легко запомнить, но которая будет слишком длинной и малозначительной, чтобы ее можно было легко запомнить. взломан хакерами.
- Вот лучшая защита конечных точек, которая обезопасит вас
Оригинал