LastPass-gebruiker moet bij phishingaanval aantonen nog in leven te zijn
LastPass-gebruikers zijn het doelwit van een nieuwe phishingaanval, waarbij wordt beweerd dat de ontvanger is overleden, zo laat LastPass zelf weten. Volgens het phishingbericht heeft iemand een overlijdensakte ingediend om toegang tot de wachtwoordkluis van de ontvanger te krijgen. Een link in de phishingmail om het zogenaamde verzoek te stoppen wijst naar een phishingpagina. Deze pagina vraagt om het master password van de LastPass-gebruiker.
Via het master password kan de aanvaller vervolgens toegang tot de wachtwoordkluis van de gebruiker krijgen, die in de cloud draait. De phishingmail stelt ook dat de meegestuurde link uniek voor de ontvanger is en die alleen via deze link op zijn LastPass-account moet inloggen. LastPass meldt dat ontvangers van deze phishingmail ook door de aanvaller zijn gebeld, waarbij die zich voordoet als medewerker van de wachtwoordmanager en het verzoek doet om op de phishingsite in te loggen. Volgens LastPass is de aanval het werk van een groep criminelen die in het verleden vaker aanvallen tegen cryptobeurzen en -gebruikers heeft uitgevoerd.
Lekker lokaal. Er gaat echt niemand bellen dat ik moet bewijzen nog in leven te zijn hoor.
....wekelijks verstopt op een andere plaats. Meer reactie heb ik niet op dat soort berichten. Maar ja àlles moet tegenwoordig ook bereikbaar zijn, en te doen zijn met het wandeltelefoontje, de snertphone. (ehh oempf, pardon: smartphone)
Noot: Elke dag ben ik weer blij dat ding zo'n 7 jaar geleden op het bureau van de HR-manager (vroeger heette dat heel gewoon personeelschef) heb achtergelaten bij mijn pensioennering. Thuis doe ik alles wat ik altijd heb gedaan met mijn desktop te samen met een gsm.
Zorgen voor morgen? Ik houd bij wat er mogelijkerwijze op mij af komt m.b.t. opgelegde afhankelijkheid. Tot dan? Geen denken aan dat ik een smartphone koop.
1. Maak een database (.kdbx bestand) aan met een goed wachtwoord die je zal onthouden + Key. Hier komen je wachtwoorden in te staan.
2. Verplaats het kdbx bestand naar je NAS of een lokale server die je makkelijk met je devices kan benaderen.
3. Verplaats je key naar een of meerdere USB sticks. Zorg ervoor dat je deze nooit op dezelfde plek met je kdbx bestanden opslaat. Het doel is om deze gescheiden te houden, je plakt je sleutel namelijk ook niet aan je voordeur. Zorg er dus voor dat je een backup hebt van de key. Zoals een extra dichtgetapete USB die je bij familie of vrienden kan neerleggen waar duidelijk op staat dat die niet gebruikt dient te worden.
4. Gebruik de .kdbx bestanden op je NAS of server voor je wachtwoorden, dit is je master database die je andere devices ook kunnen benaderen. Zo blijft alles in sync.
5. Maak af en toe een kopie naar een losse USB, die je in het geval dat je NAS of server niet te benaderen is gebruikt kan worden. Het belangrijkste is dat je een kopie hebt waar al je wachtwoorden op staan voor recovery! Zo lang je een recovery kan doen met toegang tot je kdbx backups zit je goed.
6. Maak elke X dagen/weken automatisch een encrypted backup van je .kdbx bestanden naar een andere server in geval van een crash van je NAS/server of brand etc.
Het duurt even op het op te zetten, maar als het eenmaal staat dan heb je er geen omkijken meer aan.
1. Maak een database (.kdbx bestand) aan met een goed wachtwoord die je zal onthouden + Key. Hier komen je wachtwoorden in te staan.
7. Installeer een keepass compatible app op je telefoon en sync deze met je nas.
<Knip>
Het duurt even op het op te zetten, maar als het eenmaal staat dan heb je er geen omkijken meer aan.
Superomslachtig en een veel te hoge drempel voor de meesten.
Je kunt gewoon met Vaultwarden je eigen Bitwarden server hosten op je NAS, Pi, of zelfs een VM op je thuis computer. Veilig met MFA en altijd toegankelijk, evt je toegang regelen via een VPN als Tailscale of een Cloudflare tunnel.
Veel makkelijker, wereldwijd toegankelijk en simpel te backuppen.
Lekker lokaal. Er gaat echt niemand bellen dat ik moet bewijzen nog in leven te zijn hoor.
Ohnee het woordje cloud komt voor in een bericht, cloud bad.
Lekker lokaal. Er gaat echt niemand bellen dat ik moet bewijzen nog in leven te zijn hoor.
Ohnee het woordje cloud komt voor in een bericht, cloud bad.
Waar komen toch al die cloud profeten vandaan? En wat was ook alweer het voordeel om je gegevens te bewaren op andermans computer? Ik kan er geen bedenken namelijk. Behalve als je te lui bent je eigen data te beheren natuurlijk. Ik geloof oprecht dat dat de ENIGE rede is. Het gebrek aan wil om het zelf te doen. Het gebrek aan kennis om een Synology te bedienen. Het niet willen inlezen hoe een NAS werkt. Een consumer product dat is gemaakt voor gewone mensen. Daar moet je echt geen cursus Einstein voor volgen!
Geluk is dat niemand daar verder last van heeft. De gene die daar wel last van hebben, zijn de gene die denken dat je privé data door iemand anders beheerd moet worden. Mensen die zelf geen regie willen over hun leven. Dat is de enige rede dat alles in de cloud zit. Het zijn dan ook meest de "ik heb toch niets te verbergen" mensen die alle privé zaken op straat gooien. Dingen in de cloud opslaan en je rechtstreeks op straat gooien, is in mijn ogen een heel klein verschil. Ik snap dat dan ook totaal niet. Zeker niet nu er werkende alternatieven zijn als Nextcloud en Wireguard etc. Ja, dat is ook cloud. Maar dan van jezelf!
Zoals gewoonlijk moeten de goede bloeden onder de kwaden. Dat is hier ook het geval. Als iedereen wat meer zelfrespect had gehad, was die cloud er nooit gekomen. En nu doet men alsof het de normaalste zaak is.
DAT IS HET NIET!!!
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Site Reliability Engineer
NFI
Ben je thuis in het installeren, ontwikkelen en beheren van een groot aantal Linux-systemen? Als jij graag de handen uit de mouwen steekt, zowel thuis bent in software als hardware en oog hebt voor auto-matisering en vernieuwing, dan willen wij jou in ons team!
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?