LastPass-Benutzer verlieren Master-Passwörter durch äußerst überzeugenden Betrug

Eine laufende, hochentwickelte Phishing-Kampagne könnte einige LastPass-Benutzer dazu veranlasst haben, ihre wichtigen Master-Passwörter an Hacker weiterzugeben.

Passwort-Manager speichern alle Passwörter eines Benutzers – für Instagram, seinen Job und alles dazwischen – an einem Ort, geschützt durch ein „Master“-Passwort. Sie entlasten Benutzer davon, sich die Anmeldeinformationen für Hunderte von Konten merken zu müssen, und ermöglichen ihnen die Verwendung komplizierterer, einzigartiger Passwörter für jedes Konto. Auf der anderen Seite, wenn es sich um einen Bedrohungsakteur handelt erhält Zugriff auf das Master-Passwort, haben sie Schlüssel zu jedem einzelnen der darin enthaltenen Konten.

Enter CryptoChameleon, ein neues, praktisches Phishing-Kit von beispiellosem Realismus.

CryptoChameleon-Angriffe sind in der Regel nicht so weit verbreitet, aber sie sind in einem Ausmaß erfolgreich, wie es in der Welt der Cyberkriminalität weitgehend unbekannt ist. „Deshalb sehen wir, dass sie typischerweise auf Unternehmen und andere sehr hochwertige Ziele abzielen“, erklärt David Richardson, Vizepräsident von Threat Intelligence bei Lookout, das die neueste Kampagne als Erster identifizierte und an LastPass meldete. „Ein Passwort-Tresor ist eine natürliche Erweiterung, weil man damit am Ende des Tages natürlich Geld verdienen kann.“

Bisher ist es CryptoChameleon gelungen, mindestens acht LastPass-Kunden – wahrscheinlich aber noch mehr – zu verführen und möglicherweise ihre Master-Passwörter preiszugeben.

Eine kurze Geschichte von CryptoChameleon

Auf den ersten Blick sah CryptoChameleon aus wie jedes andere Phishing-Kit.

Die Betreiber gab es seit Ende letzten Jahres. Im Januar begannen sie damit, die Kryptowährungsbörsen Coinbase und Binance ins Visier zu nehmen. Dieses anfängliche Targeting und sein hochgradig anpassbares Toolset haben ihm seinen Namen eingebracht.

Das Bild änderte sich jedoch im Februar, als sie die Domain fcc-okta[.]com registrierten und damit die Okta Single Sign On (SSO)-Seite der US-amerikanischen Federal Communications Commission (FCC) nachahmten. „Das führte dazu, dass es sich plötzlich von einem der vielen Verbraucher-Phishing-Kits, die wir auf dem Markt sehen, zu etwas entwickelt hat, das Unternehmen ins Visier nimmt und auf die Anmeldedaten des Unternehmens abzielt“, erinnert sich Richardson.

Richardson bestätigte gegenüber Dark Reading, dass FCC-Mitarbeiter betroffen waren, konnte jedoch nicht sagen, wie viele oder ob die Angriffe Konsequenzen für die Behörde hatten. Es sei ein raffinierter Angriff gewesen, stellt er fest, von dem er annimmt, dass er auch bei geschulten Mitarbeitern gewirkt hat.

Das Problem mit CryptoChameleon bestand nicht nur darin, auf wen es abzielte, sondern auch darin, wie gut es dabei war, sie zu besiegen. Der Trick bestand in der gründlichen, geduldigen und praktischen Auseinandersetzung mit den Opfern.

Bedenken Sie zum Beispiel: die aktuelle Kampagne gegen LastPass.

Diebstahl von LastPass-Master-Passwörtern

Es beginnt, wenn ein Kunde einen Anruf von einer 888-Nummer erhält. Ein Robo-Anrufer informiert den Kunden darüber, dass von einem neuen Gerät aus auf sein Konto zugegriffen wurde. Anschließend werden sie aufgefordert, „1“ zu drücken, um den Zugriff zu erlauben, oder „2“, um ihn zu blockieren. Nachdem sie „2“ gedrückt haben, wird ihnen mitgeteilt, dass sie in Kürze einen Anruf von einem Kundendienstmitarbeiter erhalten, um „das Ticket zu schließen“.

Dann kommt der Anruf. Ohne dass der Empfänger es weiß, kommt er von einer gefälschten Nummer. Am anderen Ende der Leitung steht eine lebende Person, typischerweise mit amerikanischem Akzent. Andere Opfer von CryptoChameleon haben ebenfalls berichtet, mit britischen Agenten gesprochen zu haben.

„Der Agent verfügt über professionelle Callcenter-Kommunikationsfähigkeiten und bietet wirklich gute Ratschläge“, erinnert sich Richardson an seine vielen Gespräche mit Opfern. „Sie könnten zum Beispiel sagen: ‚Ich möchte, dass Sie mir diese Support-Telefonnummer aufschreiben.‘ Und sie lassen Opfer die tatsächliche Support-Telefonnummer der Person aufschreiben, die sie vorgeben. Und dann halten sie ihnen einen ganzen Vortrag: „Rufen Sie uns nur unter dieser Nummer an.“ Mir wurde von einem Opfer berichtet, dass es tatsächlich sagte: „Aus Qualitäts- und Schulungsgründen wird dieser Anruf aufgezeichnet.“ Sie verwenden das vollständige Anrufskript, alles, was man sich vorstellen kann, um jemanden glauben zu lassen, dass er gerade wirklich mit diesem Unternehmen spricht.“

Dieser angebliche Support-Mitarbeiter informiert den Benutzer darüber, dass er in Kürze eine E-Mail senden wird, damit der Benutzer den Zugriff auf sein Konto zurücksetzen kann. Tatsächlich handelt es sich um eine bösartige E-Mail mit einer verkürzten URL, die sie auf eine Phishing-Site weiterleitet.

Der hilfsbereite Support-Mitarbeiter beobachtet in Echtzeit, wie der Benutzer sein Master-Passwort auf der Nachahmer-Site eingibt. Dann loggen sie sich damit in ihr Konto ein, ändern sofort die primäre Telefonnummer, E-Mail-Adresse und das Master-Passwort und sperren so das Opfer endgültig aus.

Währenddessen sagt Richardson: „Sie erkennen nicht, dass es ein Betrug ist – keines der Opfer, mit denen ich gesprochen habe.“ Eine Person sagte: „Ich glaube nicht, dass ich dort jemals mein Master-Passwort eingegeben habe.“ [Ich sagte ihnen] „Du hast 23 Minuten mit diesen Jungs telefoniert.“ Das hast du wahrscheinlich getan.‘“

Der Schaden

LastPass hat die verdächtige Domain, die bei dem Angriff verwendet wurde – help-lastpass[.]com – kurz nach der Inbetriebnahme abgeschaltet. Die Angreifer blieben jedoch hartnäckig und setzten ihre Aktivitäten unter einer neuen IP-Adresse fort.

Dank Einblick in die internen Systeme der Angreifer konnte Richardson mindestens acht Opfer identifizieren. Er legte auch Beweise vor (die Dark Reading vertraulich behandelt), die darauf hindeuten, dass es möglicherweise mehr gegeben hat.

Auf die Frage nach weiteren Informationen sagte Mike Kosak, Senior Intelligence Analyst bei LastPass, gegenüber Dark Reading: „Wir geben keine Einzelheiten zur Anzahl der Kunden bekannt, die von dieser Art von Kampagne betroffen sind, aber wir unterstützen alle Kunden, die möglicherweise Opfer dieser und anderer Kampagnen werden.“ Betrügereien. Wir ermutigen Menschen, potenzielle Phishing-Betrügereien und andere schändliche Aktivitäten, bei denen sie sich als LastPass ausgeben, uns unter zu melden [E-Mail geschützt] "

Gibt es eine Verteidigung?

Da praxisnahe CryptoChameleon-Angreifer ihre Opfer über potenzielle Sicherheitsbarrieren wie die Multifaktor-Authentifizierung (MFA) informieren, beginnt die Verteidigung gegen sie mit Bewusstsein.

„Die Leute müssen sich darüber im Klaren sein, dass Angreifer Telefonnummern fälschen können – nur weil eine 800- oder 888-Nummer Sie anruft, heißt das nicht, dass es legitim ist“, sagt Richardson und fügt hinzu: „Nur weil am anderen Ende ein Amerikaner sitzt.“ Die Zeile bedeutet auch nicht, dass sie legitim ist.“

Tatsächlich sagt er: „Gehen Sie nicht ans Telefon von unbekannten Anrufern. Ich weiß, dass das eine traurige Realität der Welt ist, in der wir heute leben.“

Trotz aller Sensibilisierung und Vorsichtsmaßnahmen, die Geschäftsanwendern und Verbrauchern bekannt sind, könnte ein besonders raffinierter Social-Engineering-Angriff dennoch durchkommen.

„Eines der Opfer von CryptoChameleon, mit dem ich gesprochen habe, war ein pensionierter IT-Experte“, erinnert sich Richardson. „Er sagte: ‚Ich habe mein ganzes Leben lang trainiert, nicht auf solche Angriffe hereinzufallen.‘ Irgendwie bin ich darauf reingefallen‘.“

LastPass hat Dark Reading gebeten, Kunden an Folgendes zu erinnern:

Ignorieren Sie alle unerwünschten oder unaufgefordert eingehenden Telefonanrufe (automatisiert oder mit einer echten Person) oder Textnachrichten, die angeblich von LastPass stammen und sich auf einen kürzlichen Versuch beziehen, Ihr Passwort und/oder Ihre Kontoinformationen zu ändern. Diese sind Teil einer laufenden Phishing-Kampagne.
Wenn Sie diese Aktivität sehen und befürchten, dass Sie möglicherweise kompromittiert wurden, wenden Sie sich an das Unternehmen unter [E-Mail geschützt] .
Und schließlich wird LastPass Sie niemals nach Ihrem Passwort fragen.

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
Quelle: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam

Generative Datenintelligenz

LastPass-Benutzer verlieren Master-Passwörter durch äußerst überzeugenden Betrug

Eine kurze Geschichte von CryptoChameleon

Diebstahl von LastPass-Master-Passwörtern

Der Schaden

Gibt es eine Verteidigung?

Ist Ethereum zurück? Rekord 267,000 neue Benutzer lösen Spekulationen aus

Metabirkin-NFTs auf dem Weg in ein Stockholmer Museum – CryptoInfoNet

Neueste Intelligenz

Ehemalige DFS-Regulierungsbehörde sichert sich 5.1 Millionen US-Dollar für einen von Winklevoss Twins und Robert Leshner unterstützten Kryptowährungs-Risikofonds – CryptoInfoNet

Bitcoin-Bargeldanalyse: BCH steht bei 462 US-Dollar vor einer schwierigen Aufgabe | Live-Bitcoin-Nachrichten

Der Ethereum-Preis könnte steigen, wenn es gelingt, die 100 SMA zurückzuerobern

Trezor beendet die Coinjoin-Funktion zur Verbesserung der Privatsphäre, während Wasabi Wallet zurücktritt

Warum KI ein unspielbares Web 3.0-Spiel nicht rettet – The Daily Hodl

Bitcoin imitiert das Muster von 2016: Analyst geht davon aus, dass der Preisverfall vorübergehend sein könnte pen_spark

Chat mit uns