Bitwarden i inni menedżerowie haseł są celem kampanii phishingowych reklam Google w celu kradzieży danych uwierzytelniających magazyn haseł użytkowników.

Ponieważ przedsiębiorstwa i konsumenci przechodzą do używania unikalnych haseł w każdej witrynie, niezbędne stało się stosowanie menedżerów haseł do śledzenia wszystkich haseł.

Jeśli jednak nie korzystasz z lokalnego menedżera haseł, takiego jak KeePass, większość menedżerów haseł działa w chmurze, umożliwiając użytkownikom dostęp do swoich haseł za pośrednictwem stron internetowych i aplikacji mobilnych.

Te hasła są przechowywane w chmurze w „magazynach haseł”, które przechowują dane w zaszyfrowanym formacie, zwykle szyfrowanym przy użyciu haseł głównych użytkowników.

Niedawne naruszenia bezpieczeństwa w LastPass i ataki typu credential stuffing w Norton pokazały, że hasło główne jest słabym punktem magazynu haseł.

Z tego powodu zauważono, że cyberprzestępcy tworzą strony phishingowe, których celem są dane logowania do magazynu haseł, potencjalnie uwierzytelniające pliki cookie, ponieważ po uzyskaniu do nich dostępu mają pełny dostęp do twojego skarbca.

Użytkownicy Bitwarden byli celem phishingu Google Ads

We wtorek użytkownicy Bitwarden zaczęli widzieć reklamę Google zatytułowaną „Bitward – Menedżer haseł” w wynikach wyszukiwania „menedżera haseł bitwarden”.

Chociaż BleepingComputer nie mógł odtworzyć tej reklamy, widzieli ją użytkownicy Bitwarden na Reddicie [1, 2] i fora Bitwarden.

Domena użyta w reklamie to „appbitwarden.com”, a kliknięcie przekierowuje użytkowników do strony „bitwardenlogin.com”.

​

Strona „bitwardenlogin.com” była dokładną repliką legalnej strony logowania Bitwarden Web Vault, jak widać poniżej.

W naszych testach strona phishingowa zaakceptuje dane uwierzytelniające i po przesłaniu przekieruje użytkowników do legalnej strony logowania Bitwarden.

Jednak nasze początkowe testy wykorzystywały fałszywe dane uwierzytelniające, a strona została zamknięta do czasu rozpoczęcia testów z rzeczywistymi testowymi danymi logowania Bitwarden.

W związku z tym nie byliśmy w stanie sprawdzić, czy strona phishingowa próbowałaby również ukraść pliki cookie sesji wspierane przez usługę MFA (tokeny uwierzytelniające), tak jak wiele zaawansowanych stron phishingowych.

Podczas gdy wiele osób uważa, że ​​adres URL był martwą informacją, że jest to strona phishingowa, inni nie byli w stanie stwierdzić, czy jest fałszywa, czy nie.

„Cholera. W takich sytuacjach jak mogę wykryć fałszywkę? To jest naprawdę przerażające” – powiedział plakat tematu Reddit o stronie phishingowej.

„Ludzie mówią, żeby spojrzeć na adres URL, może to tylko mój mały mózg, ale nie mogę powiedzieć, który jest prawdziwy” – skomentował inny użytkownik w tym samym poście na Reddicie.

Co gorsza, nie tylko Bitwarden jest celem złośliwych stron phishingowych w reklamach Google.

Badacz bezpieczeństwa MalwareHunterTeam również ostatnio znalezione reklamy Google kierowanie na poświadczenia dla menedżera haseł 1Password.

BleepingComputer nie był w stanie znaleźć innych reklam kierowanych na inne menedżery haseł, ale reklamy w wynikach wyszukiwania Google stały się ostatnio ogromnym problemem związanym z cyberbezpieczeństwem.

Ostatnie badania wykazały, że cyberprzestępcy wykorzystują reklamy Google do napędzania kampanii dostarczania złośliwego oprogramowania w celu uzyskania wstępnego dostępu do sieci korporacyjnych, kradzieży danych uwierzytelniających i ataków typu phishing.

Ochrona magazynów haseł

W przypadku magazynów haseł zawierających niektóre z najcenniejszych danych online ważne jest, aby odpowiednio je chronić.

Jeśli chodzi o ochronę magazynów haseł przed atakami typu phishing, pierwszą linią obrony jest zawsze potwierdzenie, że wprowadzasz swoje dane uwierzytelniające na właściwej stronie internetowej.

Jeśli jednak omyłkowo wprowadzisz swoje dane uwierzytelniające na stronie wyłudzającej informacje, powinieneś to zrobić zawsze konfiguruj uwierzytelnianie wieloskładnikowe z menedżerem haseł.

Najlepsze metody weryfikacji MFA do zabezpieczenia konta, od najlepszych do najgorszych, to sprzętowe klucze bezpieczeństwa (najlepsze, ale najbardziej uciążliwe), aplikacja uwierzytelniająca (dobra i łatwiejsza w użyciu) oraz weryfikacja SMS (może zostać przejęta w atakach polegających na wymianie karty SIM) ).

Niestety, nawet z ochroną MFA, Twoje konta mogą być nadal narażone na zaawansowane ataki phishingowe typu adversary-in-the-middle (AiTM).

Ataki phishingowe AiTM mają miejsce, gdy cyberprzestępcy wykorzystują wyspecjalizowane zestawy narzędzi, takie jak Evilginx2, Modlishka i Muraena, do tworzenia phishingowych stron docelowych, które pośredniczą w prawidłowych formularzach logowania w docelowej usłudze.

Korzystając z tej metody, odwiedzający stronę phishingową zobaczą formularz logowania legalnej usługi, takiej jak Microsoft 365. Gdy wprowadzą swoje dane uwierzytelniające i kody weryfikacyjne MFA, informacje te są również przekazywane do rzeczywistej witryny.

Jednak gdy użytkownik się zaloguje, a legalna witryna wyśle ​​plik cookie sesji wspierany przez MFA, zestaw narzędzi phishingowych może ukraść te tokeny do późniejszego wykorzystania.

Ponieważ te tokeny zostały już zweryfikowane za pośrednictwem usługi MFA, umożliwiają cyberprzestępcom zalogowanie się na Twoje konto bez ponownej weryfikacji usługi MFA.

Microsoft ostrzegł w lipcu, że ten typ ataku został użyty do obejścia uwierzytelniania wieloskładnikowego dla 10 000 organizacji.

Niestety prowadzi to nas z powrotem do pierwszej linii obrony — upewnij się, że podajesz swoje dane uwierzytelniające tylko na legalnej stronie internetowej lub aplikacji mobilnej.