14:25
30/12/2021

Oprogramowanie do wykradania haseł przechowywanych w przeglądarkach jest sprzedawane w Darknecie i obserwuje się skuteczne ataki z jego użyciem. Czy to całkowicie przekreśla przechowywanie haseł w przeglądarkach, czyli wykorzystywanie ich jako managery haseł?

Jak się wykrada hasła z przeglądarki?

Firma AhnLab poinformowała o przypadku udanego ataku polegającego na wykradzeniu loginów i haseł z przeglądarki użytkownika. Użytym do tego narzędziem był malware Redline Stealer.

Programy z tej rodziny są dostępne do kupienia w darknecie od marca 2020r. Potrafią wykradać z przeglądarki nie tylko dane uwierzytelniające, ale też dane kart płatniczych, ciasteczka oraz dane autouzupełniania, a w najnowszych wersjach także informacje o portfelach kryptowalut. Malware tego typu może wykradać dane z przeglądarek z silnikiem Chromium lub Gecko.

Tu warto wyjaśnić, że dane logowania po zapamiętaniu ich w przeglądarce lądują w pliku SQLLite o nazwie Login Data. Plik ten znajduje się w różnych miejscach w zależności od systemu lub przeglądarki np. na komputerach z Windowsem i dla przeglądarki Chrome znajdziemy go w katalogu C:\Users\<NAZWA UŻYTKOWNIKA>\AppData\Local\Google\Chrome\User Data\Default.

Redline Stealer jest sprzedawany przestępcom, a zatem sprawcy ataku nie muszą być tożsami z jego deweloperami. Cena waha się w granicach 150-200 USD, choć “logi” z setkami wykradzionymi danymi użytkowników często można też znaleźć na przestępczych forach zupełnie za darmo. Sam malware rozprzestrzeniany jest wśród ofiar na różne sposoby np. pod postacią oprogramowania (np. do edycji obrazów lub dźwięku).

Strona na Telegramie promująca Redline Stealera (źródło: AhnLab)

Komputer nie był dobrze zabezpieczony

Firma AhnLab opisuje przypadek ataku na pracownika, który pracował zdalnie. Miał dostęp do VPN-a firmy i korzystał z funkcji zapamiętywania danych uwierzytelniających w przeglądarce. Stał się ofiarą Redline Stealera, a wykradzione przez malware dane posłużyły do ataku na jego firmę. W całej sprawie były jednak dodatkowe, ważne okoliczności.

  1. Komputer pracownika był używany przez całą rodzinę i nie był odpowiednio zabezpieczony.
  2. Komputer był zainfekowany różnymi złośliwymi programami od dłuższego czasu i choć miał antywirusa to w tym przypadku nie udało się wykryć i naprawić wszystkich problemów.
  3. Użytkownik komputera najwyraźniej zainstalował scrackowaną wersję programu Soundshifter pochodzącą z niepewnego źródła.
  4. Ofiara – a raczej firma ofiary – nie korzystała z dwuetapowego uwierzytelnienia

Problem z bezpieczeństwem tego konkretnego komputera nie sprowadzał się wyłącznie do używania funkcji zapamiętywania haseł w przeglądarkach. Niestety, dla wielu osób takie historie dotyczące zapamiętywania haseł w przeglądarkach są argumentem za tym, aby nie korzystać z funkcji przechowywania haseł w przeglądarce. Ale czy na pewno ma to sens?

Co robić? Jak żyć?

W Niebezpieczniku zawsze doradzaliśmy używanie menedżerów haseł jako najlepszej metody zarządzania swoimi hasłami. Co jednak ważne, menedżer haseł ma rozwiązywać problem “higieny haseł”, a zatem ma umożliwiać użytkownikowi stosowanie długich i mocnych haseł, unikalnych dla każdego miejsca do którego się logujemy. Bo najczęstszym zgłaszanym nam problemem jest przejęcie czyjegoś konta, zazwyczaj na skutek włamania do niego z użyciem hasła ofiary, które wyciekło z innego serwisu. Tak, wciąż miliony osób korzystają z tego samego hasła w więcej niż jednym miejscu, narażając się na takie ataki. I to właśnie na ten problem rozwiązaniem jest manager haseł.

Menedżer haseł nie rozwiązuje jednak problemu infekowania komputera złośliwym oprogramowaniem. Co więcej, nawet jeśli ktoś hasła ma zapisane na żółtej kartce (albo “generuje” je w swojej głowie) i nie korzysta z managera haseł, to w przypadku infekcji złośliwym oprogramowaniem i tak atakujący będzie mieć do nich dostęp. Podsłucha klawiaturę. Znajdzie plik z hasłami na dysku. Zrobi webinjecta. Poczeka na zalogowanie i wykradnie ciastko. Sposobów jest wiele.

Po prostu zainfekowanie czyjegoś komputera to dla ofiary koniec. Niezależnie od tego czy albo z jakiego managera haseł korzysta.

Powtórzmy raz jeszcze, że:

  1. należy dbać o higienę haseł, najlepiej stosując menedżer haseł, bo chroni to przed atakami tzw. credential stuffingu / password reuse…
  2. żadne managery haseł nie uchronią ofiary przed atakiem na jej urządzenie złośliwym oprogramowaniem (inne formy przechowywania hasła też nie). Nie od tego są.
  3. …nie zaszkodzi ustawić dwuetapowe uwierzytelnienie gdzie tylko jest to możliwe, aby atakujący po pozyskaniu samych haseł w wyniku infekcji prostym “stealerem” nie był w stanie dostać się na żadne z kont (a najlepiej by to dwuetapowe uwierzytelnienie to był klucz U2F).

Z tymi poradami dotyczącymi managerów haseł i dwuetapowym uwierzytelnieniem jest tylko jeden problem. Wiele osób strasznie się przed tym wzbrania, uważa to za trudne i kłopotliwe. Przyznajmy też, że nie każdy użytkownik poradzi sobie z menedżerem haseł (Twoja babcia może mieć z tym problem i piszemy to z pełnym szacunkiem dla niej). Tu zapamiętywanie haseł w przeglądarce jest dobrym pomysłem. To najłatwiejszy w użyciu manager haseł.

Jak ktoś może, chce i potrafi, niech użyje KeePassa (XC) (tu instrukcja skonfigurowania krok po kroku). Ale jeśli to go przerasta, niech korzysta z zapamiętywania haseł w przeglądarce. I tak w przypadku infekcji atakujący będzie mógł pozyskać dane z obu managerów. Oraz z czyjejś głowy, jeśli ktoś z managerów nie korzysta.

Powtórzmy: zapamiętywanie haseł w przeglądarce nie jest tragedią o ile komputer ma jednego użytkownika. Dzisiaj taka sytuacja jest o wiele częstsza niż np. 10 lat temu. Ale trzeba pamiętać, że jeśli ofiara zainfekuje swój komputer, to koniec. W opisanym powyżej przypadku komputer pracownika miał kilka złośliwych programów, co oznacza, że jego hasło mogło zostać wykradzione nie tylko z przeglądarki. Czy należy za to obwiniać manager haseł w przeglądarce? To trochę tak, jakby jeździć samochodem z niesprawnymi hamulcami, ale po nieudanym hamowaniu obwiniać o wszystko “łyse” opony.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet w naszym internetowym sklepie.

37 komentarzy

Dodaj komentarz
  1. Nie uwzględniacie jeszcze jednego ważnego scenariusza ataku. Przy komputerze “babci” fizycznie siada wnuczek, siostrzeniec, gość, serwisant, urzędnik, itp itd – i uzyskuje natychmiastowy dostęp do jej haseł, jeśli zapisane są w przeglądarce.
    I nie dotyczy to tylko babć.
    Dziesiątki haseł do różnych serwisów widziałem w przeglądarkach diagnozowanych kompów które ludzie i firmy używali do pracy.

    • Przecież w przeglądarce jest jeszcze master password.

    • @Masterpass

      Po pierwsze to jest opcja, której nie wszyscy używają, a w artykule o niej nie ma, po drugie istnieją metody obejścia master password.

    • @stukot
      Czy podasz sposób obejścia master password?

    • Jeśli masz master password, to nie obejdziesz go. To znaczy możesz je złamać jak każde inne, ale kradzież pliku z hasłami nic nie daje wtedy.

      Aż się dziwię, że nie ma nic o tym w artykule. Ale to może dlatego, że Chrome od wielu lat nie ogarnął tego. W Firefox hasło główne, to norma.

    • Obejście master password w którejś z przeglądarek było możliwe w panelu ustawień pozwalającym na podgląd zapisanych haseł, pod warunkiem, że użytkownik już wcześniej po ostatnim uruchomieniu przeglądarki wpisał to główne hasło. Po prostu dało się obejść pytanie o ponowne jego podanie, aby podejrzeć hasło do danego serwisu.

    • Kiedyś była taka wtyczka (na pewno do FF) – Master Password timeout – wylogowywała hasło master po określonym czasie. Wtyczki już nie ma i bardzo mnie dziwi, że tego mechanizmu nie ma wbudowanego na stałe w tę funkcjonalność w samych przeglądarkach.

    • @nux Chrome woła o hasło użytkownika Windows jako masterpass do podglądu zapisanych haseł. Nie wiem na ile to skuteczne ale raczej zapobiega łatwemu podglądowi.

    • @Masterpass

      Jest zależny od przeglądarki i systemu operacyjnego. Użyj wyszukiwarki ;-)

    • @stukot
      Wymyślasz sposób i odsyłasz do wyszukiwarki. Typowa dezinformacja.
      Jak chcesz dyskutować to pisz konkrety.

    • @Masterpass

      Przecież To Ty wpiąłeś się w mój wątek :-) To kto tu chce dyskutować?
      A know-how kosztuje. Chyba że sam sobie znajdziesz w powszechnie dostępnych źródłach.
      Mały hincik: przeglądarka to nie tylko interfejs, a system to nie tylko tapeta pulpitu ;-)
      Alternatywą jest socjo (pamiętamy kto jest przykładowym userem w artykule) na poziomie, z którym nawet taki prostak jak ja umie sobie poradzić ;-)

    • @stukot
      Ja wpisałem się w Twój wątek, ale Ty wpisałeś się pod mój podwątek o master pass.
      Używasz argumentu z dupy wyjętego.
      Jak chcesz dyskutować to pisz konkrety. Jak nie chcesz podać sposobu to nie dyskutuj i nie powielaj dezinformacji.
      Czego nie rozumiesz?

  2. “Jak ktoś może, chce i potrafi, niech użyje KeePassa (XC) (tu instrukcja skonfigurowania krok po kroku). Ale jeśli to go przerasta, niech korzysta z zapamiętywania haseł w przeglądarce. I tak w przypadku infekcji atakujący będzie mógł pozyskać dane z obu managerów.”

    Będę wdzięczny za informacje jak mógłby wyglądać skuteczny atak na hasła przechowywane w KeePassaXC ?

    Pytam bo jestem nietechniczny i zacząłem używać KeePassaXC. Udało mi się nawet zabezpieczyć bazę danych za pomocą yubikey. Na początku było to pracochłonne i kłopotliwe, ale teraz jest to bardzo wygodne.

    • A bardzo prosto, tak jak opisano w artykule: po przejęciu urządzenia atakujący “Podsłucha klawiaturę. Znajdzie plik z hasłami na dysku. Zrobi webinjecta. Poczeka na zalogowanie i wykradnie ciastko. Sposobów jest wiele.”

      Jeśli urządzenie zostało przejęte, nie trzeba przejmować/deszyfrować bazy, wystarczy poczekać, aż hasło zostanie użyte…

    • Jeśli jest auto-fill hasła fizycznie po podsłuchaniu nie będzie.

  3. Jeśli jest auto-fill hasła fizycznie po podsłuchaniu nie będzie.

  4. W artykule brakuje podstawowej informacji: czy wykradane są rozszyfrowane hasła z bazy zabezpieczonej przez master password? To, że po zainstalowaniu sobie trojana, ktoś może pobrać z naszego komputera dowolne pliki, to chyba nie jest dla nikogo nowość.

    Druga sprawa: dlaczego zawsze polecacie tylko KeePassa, a nie np. również Bitwarden?

  5. Jak mi się włamią do iPKO to bez zdrapek z których musze korzystać nawet przy wyświetlaniu starszej historii nic haker nie zrobi. Musiał by się włamać do mojego mieszkania najpierw po kartę z kodami.

    • Problem z kartą z kodami jest to, że wpisując kod nie wiesz co autoryzujesz. Złośliwe oprogramowanie może podmienić kwotę oraz numer konta, na które wykonujesz przelew. To się zadzieje w tle tak, że nie będziesz tego widział. Nawet po wejściu w historię operacji wszystko może wyglądać ok – ale nie będzie. Kody z karty są niezgodne z PSD2 – bank już dawno powinien zrezygnować z tej metody autoryzacji.
      Inny możliwy atak to zmiana metody autoryzacji z karty z kodami na smsy. To czy taki atak jest możliwy zależy od procedury zmiany metody autoryzacji.

    • Jak napisał niebezpiecznik – jeśli włamią Ci się na komputer to pozamiatane. Atakujący podstawi Ci phishingową stronę banku, dzięki której sam mu podasz te Twoje “bezpieczne” kody i jeszcze będziesz się cieszył, że bank wreszcie zaczął działać jak należy… ;-)

  6. A co z Last pass? był polecany a już od jakiegoś czasu nie widać o nim informacji. A jest prosty w użyciu dla ludzi mniej obeznanych ( starszych itp.).

  7. Redakcja pomija jeszcze jeden sposób wykradania haseł: backup danych gdzieś w internecie wraz z kompletem plików przeglądarki i zapamiętanymi w nich plikami. Tak na przykład “-inurl:(htm|html|php)intitle:”index of”+”last modified” + “parent directory”+ description + size + (chromepass|firefoxpass|pass)” + “WebBrowserPassRestorer5.0

  8. Redline stworzony byl oryginalnie pod kradzieze kont steam – wszystkie inne rzeczy oprócz walletow (metamask, exodus) sa kradzione tylko po to zeby ulatwic odzyskanie takiego konta (wiecej danych = latwiej SE support)

  9. Czy wiadomo coś o podatności na ten atak programów typu Dashlane czy 1password?

    • @Norbert
      Jeśli ktoś umieści na twoim komputerze jakiegoś trojana, sniffera czy keyloggera to wtedy już nie jest twój komputer i żaden program wtedy nie pomoże.

    • A czasami pomoże offline google authenticator.

  10. Problem wykradania haseł z komputera to od dawna problem nieświadomego użytkownika.
    Dobrym rozwiązaniem jest stosowania menadżera haseł z dwuetapowym dostępem. Może to być płatny już Last Pass lub inne darmowe podobne narzędzia jak Bitwarden czy Avira Password Manager. Jest takich narzędzi wiele, ale warto wybrać takie które daje możliwość logowania dwuetapowego.

  11. Nirsoft-Chromepass – ślicznie wszystko wyciąga z chroma – można nawet sobie wyeksportować do KeePassa.

  12. Jedną z ciekawszych metod na zwiększenie poziomu bezpieczeństwa przeglądarki jest blokada instalowania/uruchamiania nieautoryzowanych przez nas dodatków/pluginów. Instaluję dodatki których używam po czym aktywuje ochronę. W ten sposób nieświadomie lub przez przypadek nie zainstaluję nic co podczepi się pod przeglądarkę i będzie próbowało “kraść dane”, eliminuje się w ten sposób wszelkiej maści toolbary i inny syf jak np. translator, który kradnie loginy i hasła. Dla Edge można sterować tym polisami domenowymi, dla FF trochę gorzej ale też do ogarnięcia.

  13. Ataki hakerskie widać po ilości powiadomień z gazet.

  14. Czasami pomoże offline google authenticator.

  15. Kiedyś zainstalowałem NordPass i ten w trakcie instalacji zapytał czy chcę zaimportować hasła z Chrome, odpowiedziałem, że tak i one po prostu zostały zaimportowane.

    Nie pamiętam abym musiał to jakoś potwierdzać dodatkowo, no chyba, że to okienko było okienkiem Chrome. Jeśli jednak NordPass tak sobie wziął hasła z Chrome to znaczy, że każdy program może je sobie wziąć.

    Coś pomyliłem?

    • Czy miałeś ustawiony master pass?

  16. klawiatura ekranowa przy bardziej “strategicznych” hasłach

    • To żaden problem dla trojanów… ;))

  17. […] są najlepszym rozwiązaniem? I czy naprawdę są tak wygodne i bezpieczne, jak obiecują? Według niebezpiecznik.pl nie jest to dobre i polecane […]

Odpowiadasz na komentarz DKL

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: