信息化觀察網(wǎng)

本文來自嘶吼網(wǎng)，作者/~陽(yáng)光~。

隨著企業(yè)和消費(fèi)者開始在每個(gè)網(wǎng)站使用獨(dú)特的密碼，使用密碼管理器來跟蹤所有的密碼已經(jīng)變得非常有必要。

然而，除非你使用像KeePass這樣的本地密碼管理器，否則大多數(shù)密碼管理器是基于云的，管理器允許用戶通過網(wǎng)站和移動(dòng)應(yīng)用程序訪問他們的密碼。

這些密碼被儲(chǔ)存在云端的"密碼庫(kù)"中，并且以加密的形式保存數(shù)據(jù)，通常會(huì)使用用戶的主密碼進(jìn)行加密。

最近LastPass的安全漏洞和Norton的憑證填充攻擊說明，主密碼是密碼庫(kù)的一個(gè)薄弱點(diǎn)。

由于這個(gè)原因，人們發(fā)現(xiàn)威脅者創(chuàng)建了針對(duì)密碼庫(kù)登錄憑證進(jìn)行攻擊的釣魚網(wǎng)頁(yè)，一旦他們獲得了這些憑證，他們就可以完全訪問你的密碼庫(kù)。

Bitwarden用戶成為谷歌廣告釣魚的目標(biāo)

本周二，Bitwarden的用戶在"bitwarden密碼管理器"的搜索結(jié)果中看到了一個(gè)題為"Bitward密碼管理器"的谷歌廣告。

雖然無法直接復(fù)制這個(gè)廣告，但Bitwarden用戶可以在Reddit和Bitwarden論壇上可以看到這個(gè)廣告。

廣告中所使用的域名是'appbitwarden.com'，點(diǎn)擊后會(huì)將用戶重定向到'bitwardenlogin.com'網(wǎng)站。

bitwardenlogin.com網(wǎng)站的頁(yè)面是通過完全復(fù)制合法的Bitwarden Web Vault登錄頁(yè)面得到的，如下圖所示。

在我們的測(cè)試中，該釣魚頁(yè)面可以接受用戶提交的憑證，用戶一旦提交后，系統(tǒng)會(huì)將用戶重定向到合法的Bitwarden登錄頁(yè)面。

然而，我們最初使用的是假憑證進(jìn)行的測(cè)試，當(dāng)我們使用真實(shí)的Bitwarden測(cè)試登錄憑證進(jìn)行測(cè)試時(shí)，發(fā)現(xiàn)該頁(yè)面已經(jīng)關(guān)閉。

因此，我們無法看到該釣魚頁(yè)面是否也會(huì)像很多其他高級(jí)釣魚頁(yè)面一樣試圖竊取MFA支持的會(huì)話cookie（認(rèn)證令牌）。雖然許多人覺得這個(gè)URL很明顯是不正常的，表明這是一個(gè)釣魚網(wǎng)頁(yè)，但很多人無法分辨它是否是假的。

Reddit上一個(gè)關(guān)于釣魚網(wǎng)頁(yè)的話題的發(fā)帖人說，在這樣的情況下，我怎么可能發(fā)現(xiàn)這是假的呢？這真是太可怕了。另一位用戶在同一個(gè)Reddit帖子上評(píng)論道，別人都說要看網(wǎng)址，但我真的無法分辨哪個(gè)是真的。

更糟糕的是，不僅僅是Bitwarden被谷歌廣告中的惡意釣魚頁(yè)面盯上了。安全研究人員MalwareHunterTeam最近也發(fā)現(xiàn)谷歌廣告針對(duì)1Password密碼管理器的憑證進(jìn)行攻擊的跡象。

我們目前還沒能找到針對(duì)其他密碼管理器進(jìn)行攻擊的廣告，但谷歌搜索結(jié)果中的廣告最近已經(jīng)成為了一個(gè)巨大的網(wǎng)絡(luò)安全隱患。

最近的研究表明，威脅者正在利用谷歌廣告為他們的惡意軟件投放活動(dòng)推波助瀾，為初步進(jìn)入企業(yè)網(wǎng)絡(luò)，竊取憑證，并進(jìn)行網(wǎng)絡(luò)釣魚攻擊做準(zhǔn)備。

保護(hù)你的密碼庫(kù)

由于密碼庫(kù)中包含了一些很敏感的私人數(shù)據(jù)，適當(dāng)?shù)乇Ｗo(hù)它們是很重要的。

當(dāng)談到保護(hù)你的密碼庫(kù)免受網(wǎng)絡(luò)釣魚攻擊時(shí)，第一道防線就是確認(rèn)你在正確的網(wǎng)站上輸入了你的憑證。

然而，如果你錯(cuò)誤地在一個(gè)釣魚網(wǎng)站上輸入了你的憑證，那么你應(yīng)該及時(shí)在你的密碼管理器中配置多因素驗(yàn)證功能。在使用的各種MFA驗(yàn)證方法中，其效果從最好到最差，是硬件安全鑰匙（安全性最好但最麻煩），認(rèn)證應(yīng)用程序（更容易使用），以及短信驗(yàn)證（可以在SIM卡交換攻擊中被劫持）。

不幸的是，即使有MFA保護(hù)，你的賬戶仍然容易受到高級(jí)中間人（AiTM）網(wǎng)絡(luò)釣魚攻擊。

AiTM釣魚攻擊是指威脅者利用專門的工具包，如Evilginx2、Modlishka和Muraena，創(chuàng)建釣魚登陸頁(yè)面，代理目標(biāo)服務(wù)的合法登錄表格進(jìn)行攻擊。

使用這種方法，網(wǎng)絡(luò)釣魚頁(yè)面的訪問者會(huì)看到一個(gè)合法服務(wù)的登錄表，如微軟365。當(dāng)他們輸入他們的憑證和MFA驗(yàn)證碼時(shí)，這些信息也會(huì)被轉(zhuǎn)發(fā)到真實(shí)的網(wǎng)站內(nèi)。

然而，一旦用戶登錄，合法網(wǎng)站會(huì)發(fā)送MFA支持的會(huì)話cookie，網(wǎng)絡(luò)釣魚工具箱就可以竊取這些令牌供以后使用。

由于這些令牌已經(jīng)通過MFA驗(yàn)證，它們?cè)试S威脅者登錄你的賬戶而無需再次驗(yàn)證MFA。微軟在7月警告說，這種類型的攻擊被用來繞過了10,000多個(gè)組織的多因素認(rèn)證。

所以，最好的方法是回到第一道防線，確保你只在合法的網(wǎng)站或移動(dòng)應(yīng)用程序上輸入你的憑證。

本文翻譯自：https://www.bleepingcomputer.com/news/security/bitwarden-password-vaults-targeted-in-google-ads-phishing-attack/