Specialistii în securitate cibernetică au dezvăluit recent o vulnerabilitate critică de tip zero-day care afectează unsprezece manageri de parole importanți, inclusiv 1Password, LastPass și Bitwarden. Noul tip de atac, denumit "DOM-based Extension Clickjacking", permite infractorilor să fure date sensibile precum detalii de card de credit, informații personale și credențiale de autentificare (inclusiv coduri de 2FA), printr-un singur click. Acest lucru se întâmplă atunci când atacatorii ascund elementele de interfață ale extensiei managerului de parole pe un site web malițios, iar un click al utilizatorului declanșează completarea automată a datelor într-un formular invizibil, permițând astfel furtul lor.
Deși toți managerii de parole testați au fost inițial vulnerabili, Bitwarden, a remediat deja problema lansând actualizări de securitate. Totuși, jucători importanți precum 1Password și LastPass au confirmat vulnerabilitatea, dar încă nu au lansat o soluție completă. Atacul este deosebit de periculos, deoarece poate fi executat pe subdomenii ale unor site-uri de încredere, exploatând vulnerabilități preexistente și extinzând suprafața de atac.
Pentru a te proteja, este crucial să-ți actualizezi imediat extensia managerului de parole la cea mai recentă versiune. În plus, experții recomandă să configurezi accesul extensiei pe "la click" în loc de "automat", oferindu-ți astfel control manual asupra completării automate a datelor și adăugând un strat suplimentar de securitate.
Sfaturi de Protecție
1. Actualizeaza imediat managerul de parole
Pasul 1: Deschide browserul web (Chrome, Firefox, Edge).
Pasul 2: Accesează magazinul de extensii al browserului (de exemplu, Chrome Web Store).
Pasul 3: În bara de căutare, tastează numele managerului tău de parole.
Pasul 4: Actualizeaza extensia
Pasul 5: Asigură-te că ai activat actualizările automate pentru extensii, dacă browserul tău oferă această opțiune.
2. Configurează setările de completare automată
Pasul 1: Dă click pe iconița managerului tău de parole din bara de extensii a browserului.
Pasul 2: Accesează meniul de setări sau opțiuni.
Pasul 3: Caută secțiunea autofill (completare automată) sau site access (acces pe site-uri).
Pasul 4: Schimbă opțiunea de completare automată de la "automat" la "la click" sau "manual".
3. Fii precaut cu subdomeniile și linkurile
Pasul 1: Verifică întotdeauna adresa URL afișată în bara de adrese a browserului înainte de a introduce credențialele.
Pasul 2: Nu da click pe linkuri din mesaje sau e-mailuri neașteptate.
Pasul 3: În loc să dai click, introdu adresa site-ului manual în browser pentru a te asigura că accesezi site-ul corect.
4. Activează autentificarea cu doi factori (2FA)
Pasul 1: Accesează setările conturilor tale online (ex: Google, Facebook, contul de e-mail etc.). Cauta Confidentialitate/Securitate sau similar.
Pasul 2: Caută și activează opțiunea 2FA sau "verificare în doi pași".
Pasul 3: Alege să folosești o aplicație de autentificare (ex: Google Authenticator, Authy) pentru a genera coduri, în locul primirii acestora prin SMS.
5. Folosește un software antivirus și anti-malware
Pasul 1 (Windows/macOS): Instalează o soluție antivirus recunoscută, cum ar fi Bitdefender sau Malwarebytes.
Pasul 2: Configurează programul pentru a rula scanări regulate ale sistemului.
6. Activează firewall-ul
Pasul 1 (Windows/macOS): Mergi la setările sistemului de operare și caută opțiunile pentru firewall. Setari - Confidentialitate si Securitate - Windows Security - Firewall
Pasul 2: Asigură-te că firewall-ul este activat.
7. Folosește parole puternice și unice
Pasul 1: Creează parole care combină litere mari și mici, cifre și simboluri.
Pasul 2: Folosește managerul de parole pentru a stoca parole unice pentru fiecare cont.
8. Creează copii de rezervă (backup)
Pasul 1: Configurează un backup regulat al datelor tale.
Pasul 2: Poți folosi servicii cloud (ex: Google Drive, iCloud) sau un disc extern.
9. Fii atent la e-mailurile și mesajele de phishing
Pasul 1: Verifică mereu adresa expeditorului.
Pasul 2: Nu deschide atașamente sau nu da click pe linkuri din mesaje suspecte.
10. Fii informat
Pasul 1: Urmărește știrile de securitate cibernetică de pe surse de încredere (ex: CISA, CERT-RO).
Pasul 2: Învață să recunoști semnele unei amenințări (erori gramaticale, logouri de calitate slabă etc.).
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro