Billede: Let's Encrypt

Sidste år udstedte Let's Encrypt 15.270 SSL-certifikater til sider med PayPal i domænenavnet eller identitet, hvoraf cirka 96,7% var phishing-sider. Undersøgelsen blev lavet af Vincent Lynch, som lavede en stikprøve på cirka 1.000 domæner.

Lynch analyserede et datasæt over det sidste år, hvor han var i stand til at se at antallet af udstedte certifikater til phishing-sider steg voldsomt pludseligt. Dette kan skyldes flere ting, at udviklerne brugte noget tid på at teste om de kunne skaffe, deploye og holde på certifikaterne, men det kan også være at det tog tid før at metoden blev udbredt iblandt udviklerne.

Redaktionen vil understrege at HTTPS gør at forbindelsen er sikker mellem klienten og serveren, men den garanterer ikke at serverens intentioner er rene.

Redaktør: Hykalos   |   Indsendt af: thimon   |   1   |   3345

Billede: Flavio Takemoto, FreeImages.com

Sikkerhedsforsker Sean Cassidy har udviklet et værktøj, der ved at udføre phishing angreb på password management tjenesten LastPass, kan indsamle hele kodeordssæt fra LastPass API'et.

Værktøjet hedder LostPass, og blev præsenteret af Sean Cassidy til hackerkonferencen Schmoocon.

LastPass har allerede givet et svar på dette, som kan læses her. Af svaret fremgår bl.a. hvordan LastPass sikrer brugerne, og samtidigt skydes noget af skylden over på Google Chrome browseren.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   1   |   2515