En av de store ulempene med passord som innloggingsløsning er at det er vanskelig å holde kontroll på mengden passord de fleste av oss oppretter på nettet.
En bekvem løsning som svært mange benytter seg av er lagring av passord i nettleseren for å unngå å måtte huske hvert eneste ett, men dette medfører også en betydelig risiko, advarer nå sikkerhetsforskere.
Stjal VPN-innlogging
Blant andre New York Post rapporterte nylig om et alvorlig innbrudd i nettverket til en bedrift som ble muliggjort ved at passord lagret i nettleseren til en ansatt ble stjålet. Det var sikkerhetsselskapet AhnLab ASEC som etterforsket saken og som nå kommer med advarselen.
Hendelsen fant sted da en ansatt ble infisert av skadevare designet for å stjele passord og andre data. Vedkommende brukte en VPN-tjeneste og hadde benyttet passordhåndteringsfunksjonen i nettleseren til å lagre innloggingsdataene til blant annet denne VPN-tjenesten.
Skadevaren på PC-en til den ansatte stjal VPN-passordet, som noen måneder senere ble brukt til å hacke det interne nettverket til selskapet som den ansatte jobbet hos. Innloggingsdata til flere andre nettsider ble også hentet ut fra nettleseren, ifølge forskerne.
Bedriften benyttet VPN-løsning nettopp for å hindre kompromittering av sine interne nettverk mens ansatte jobbet hjemmefra, men ved å lagre innloggingsdataene i nettleseren ble hackingen altså likevel mulig.
AhnLab ASEC peker på at den infiserte PC-en i dette tilfellet ble delt av hele familien til den ansatte og ble ikke administrert på en ansvarlig måte, som særlig er et aktuelt problem ved jobbing hjemmefra.
Advarer
– Selv om passordlagringsfunksjonen i nettlesere er veldig praktisk, anbefales brukere å avstå fra å bruke den og bare benytte programmer fra «rene» kilder, siden det er en risiko for lekkasje av kontoinformasjon ved skadevare-infeksjoner, skriver forskerne.
Sikkerhetsselskapet har identifisert skadevaren, som er opplyst å være den såkalte Redline Stealer-programvaren. Denne kan visstnok kjøpes relativt rimelig på det mørke nettet, og er derfor lett tilgjengelig.
Redline-programvaren skal først ha blitt oppdaget i mars 2020, som betyr at den ennå er relativt ny. Ifølge sikkerhetsselskapet spres den først og fremst gjennom phishing-eposter, ofte relatert til den pågående Covid-19-pandemien, i tillegg til via ondsinnede Google-annonser.
Andre sikkerhetsselskaper har også omtalt Redline, deriblant Recorded Future og Proofpoint. Ifølge Recorded Future spres programvaren via meldinger på sosiale medier, i tillegg til de ovennevnte metodene.
Utover passord- og brukernavndata kan programvaren også stjele data knyttet til kryptovaluta-lommebøker, informasjonskapsler og betalingskortdata. Den retter seg mot Chromium-baserte nettlesere som Chrome, og nettlesere basert på Mozillas Gecko-motor – deriblant Firefox.
Farlig skadevare stjeler passord – Norge er rammet
