新的隐匿威胁:Bitwarden 密码管理器成为网络钓鱼诈骗的目标

诈骗者以基于云的密码管理器(包括 Bitwarden)的用户为目标,进行网络钓鱼攻击。攻击方式是恶意广告。

Bitwarden 密码管理器用户正成为谷歌网络钓鱼广告的目标

用户报告说他们在谷歌上看到了 Bitwarden 的虚假广告,但是广告中的链接与密码管理器的网站无关。上图来自几天前发布的reddit用户。这个特定的网站与 Bitwarden 的登录页面非常相似。现在,如果用户输入了他们的用户名和解锁保险库的主密码,并且诈骗者掌握了该信息,将会发生什么。攻击者可以尝试使用获得的凭据并登录到 Bitwarden 服务器上的帐户,以窃取密码库的内容。但这些网络钓鱼活动实际上有点复杂,黑客也经常窃取身份验证令牌。

Bitwarden 密码管理器恶意广告谷歌搜索结果

下面是恶意广告 (h/t reddit ),令人震惊的是,这些恶意页面被放置在搜索结果的顶部,合法 URL 本身的上方。

 

另一位 Bitwarden 用户在该公司的支持门户网站上创建了一个帖子,提醒其他人注意该网站试图冒充官方网站的登录页面。它非常相似,不是吗?钓鱼网站上的字体、图标和其他元素的所有内容看起来都与原始登录页面相同。

它通过在网站上输入一些凭据来运行一些测试,但一旦接受这些凭据,恶意网页就会将用户重定向到 Bitwarden 官方网站。作者表示,他们无法使用真实的登录信息或身份验证令牌测试网络钓鱼页面,因为该网站当时已被关闭。

我想如果用户为他们的帐户启用了双因素身份验证,他们可能仍然是安全的,但这仍然非常可怕。它强调需要仔细检查 URL。如果您想访问您的网络保险库,您可以使用 Bitwarden 桌面应用程序的帮助 > 转到保险库选项来访问正确的网页,即 https://vault.bitwarden.com/。您可能希望将其保存到浏览器的书签中。用于 Firefox 和 Chrome 的 Bitwarden 浏览器扩展的用户可以通过单击加载项的图标 > 设置 > Bitwarden 网络保险库来访问该页面。确保您使用强大且唯一的主密码,在您的帐户上启用双因素身份验证(两步验证),并在向其提供用户名和密码之前注意您所在的网页。

任何基于云的密码管理器或任何云服务都可能发生恶意广告和网络钓鱼攻击,Bitwarden 用户并不是唯一成为这些攻击目标的用户,MalwareHunter报告称类似的网络钓鱼活动被用来引诱和欺骗 1Password用户,也在 Google 上使用恶意广告。这是一个严重的问题。最近,Norton Password Manager用户成为密码填充攻击的受害者。最近最大的密码管理器漏洞(历史上最大的?)当然是LastPass 事件,该事件导致黑客获得了对包含公司用户密码库的云服务器的访问权限。

我永远不会停止向害怕云服务的人推荐KeePass 。KeePass 是免费的、开源的、离线工作的,支持物理安全令牌,具有适用于 iOS、Android、Linux、macOS 和 Windows 的出色分支和端口。有什么不喜欢的?即使您确实使用基于云的服务,您也应该考虑导出密码库的副本并将其导入 KeePass。这样,即使云应用程序出现中断,您也不会被锁定在您的帐户之外。

THE END
喜欢就支持一下吧
点赞6539 分享
Manus AI 功能演示 !如何获取内测码?免费开源替代方案解析 | 零度解说-零度博客
Windows 11 重大更新:添加了记事本选项卡、iPhone 配对和 AI 功能-零度博客

Windows 11 重大更新:添加了记事本选项卡、iPhone 配对和 AI 功能

2023 年的第一个重大更新下降是 2022 年更新的应用程序和 UI 更改的组合。   更新,美国东部时间上午 11:42:我们在 Your Phone 应用程序中添加了有关 iMessage 支持的信息。 今天,微软宣...
admin的头像-零度博客admin
1.3W+6540
ChatGPT 目前不可用,宕机!已查明原因,正积极修复-零度博客

ChatGPT 目前不可用,宕机!已查明原因,正积极修复

 2024 12.12 ChatGPT出现全球宕机,打开官网或者PC客户端、手机端全部显示: ChatGPT 目前不可用。 状态:已识别 — 我们已经识别出该问题并正在努力推出修复程序。不知道的人还以为是自己的...
admin的头像-零度博客admin
93862130
修复:Visual C ++中的运行时错误r6025-零度博客

修复:Visual C ++中的运行时错误r6025

游戏玩家或安装一些工程软件的时候经常会出现这个错误:microsoft visual c++ runtime library R6025 因为许多游戏和其他软件都依赖某些框架才能正常工作。如果您的计算机缺少框架的某些组件,...
admin的头像-零度博客admin
1.2W+652
Mobile ALOHA 斯坦福发布的爆火AI机器人!-零度博客

Mobile ALOHA 斯坦福发布的爆火AI机器人!

从人类演示中进行的模仿学习在机器人技术中表现出了令人印象深刻的表现。然而,大多数结果都集中在桌面操作上,缺乏一般有用任务所需的移动性和灵活性。在这项工作中,我们开发了一种用于模仿双...
admin的头像-零度博客admin
1.3W+1527
Microsoft to do 最好用的【代办事项】管理工具!  微软出品,完全免费-零度博客

Microsoft to do 最好用的【代办事项】管理工具! 微软出品,完全免费

如果要零度推荐一款,最好用,效率最高的代办事项管理工具,那么微软出品的 Microsoft to do 无疑是最佳选择!不仅完全免费,而且兼容性极好,又轻量级,支持跨平台使用,无论是在Windows、Mac...
admin的头像-零度博客admin
1.2W+4543
微软警告:旧版安装介质可能阻止 Windows 11 更新!-零度博客

微软警告:旧版安装介质可能阻止 Windows 11 更新!

微软近日警告,使用 CD 或 USB 闪存驱动器等物理介质安装 Windows 11 版本 24H2 时可能会遇到问题。如果安装介质包含 2024 年 10 月 8 日至 11 月 12 日之间发布的安全更新,安装后的系统可能无...
admin的头像-零度博客admin
1.4W+2277
10个被隐藏的Chrome高级功能!探索谷歌浏览器更多的潜力-零度博客
终于来了!微软推出 DALL-E 3 图片生成功能,免费用!输入中文就能生成精美的AI图片 | 零度解说-零度博客

终于来了!微软推出 DALL-E 3 图片生成功能,免费用!输入中文就能生成精美的AI图片 | 零度解说

https://youtu.be/EX7SrTaCqQo ============== 必备环境+Stable diffusion及提示词下载 :https://www.freedidi.com/8474.html
admin的头像-零度博客admin
1.7W+1682