Μια συνεχιζόμενη, εξαιρετικά εξελιγμένη καμπάνια phishing μπορεί να οδήγησε ορισμένους χρήστες του LastPass να παραδώσουν τους πολύ σημαντικούς κύριους κωδικούς πρόσβασης σε χάκερ.

Οι διαχειριστές κωδικών πρόσβασης αποθηκεύουν όλους τους κωδικούς πρόσβασης ενός χρήστη — για το Instagram, τη δουλειά του και οτιδήποτε άλλο ενδιάμεσα — σε ένα μέρος, προστατευμένο από έναν «κύριο» κωδικό πρόσβασης. Αποφορτίζουν τους χρήστες από το να χρειάζεται να θυμούνται τα διαπιστευτήρια για εκατοντάδες λογαριασμούς και τους δίνουν τη δυνατότητα να χρησιμοποιούν πιο περίπλοκους, μοναδικούς κωδικούς πρόσβασης για κάθε λογαριασμό. Από την άλλη πλευρά, εάν ένας παράγοντας απειλής αποκτά πρόσβαση στον κύριο κωδικό πρόσβασης, θα έχουν κλειδιά για κάθε έναν από τους λογαριασμούς μέσα.

εισάγετε CryptoChameleon, ένα νέο, πρακτικό κιτ phishing απαράμιλλου ρεαλισμού. 

Οι επιθέσεις CryptoChameleon τείνουν να μην είναι τόσο διαδεδομένες, αλλά είναι επιτυχείς σε ένα κλιπ που δεν φαίνεται σε μεγάλο βαθμό σε ολόκληρο τον κόσμο του εγκλήματος στον κυβερνοχώρο, "γι' αυτό βλέπουμε συνήθως ότι στοχεύει επιχειρήσεις και άλλους στόχους πολύ υψηλής αξίας", εξηγεί ο David Richardson, αντιπρόεδρος του νοημοσύνη απειλών στο Lookout, το οποίο αρχικά εντόπισε και ανέφερε την τελευταία καμπάνια στο LastPass. "Το θησαυροφυλάκιο κωδικού πρόσβασης είναι μια φυσική επέκταση, γιατί προφανώς θα μπορείτε να δημιουργήσετε έσοδα από αυτό στο τέλος της ημέρας."

Μέχρι στιγμής, το CryptoChameleon έχει καταφέρει να παγιδεύσει τουλάχιστον οκτώ πελάτες LastPass - αλλά πιθανότατα περισσότερους - εκθέτοντας πιθανώς τους κύριους κωδικούς πρόσβασης τους.

Μια σύντομη ιστορία του CryptoChameleon

Στην αρχή, το CryptoChameleon έμοιαζε με οποιοδήποτε άλλο κιτ phishing.

Οι χειριστές του υπήρχαν από τα τέλη του περασμένου έτους. Τον Ιανουάριο, ξεκίνησαν στοχεύοντας τα ανταλλακτήρια κρυπτονομισμάτων Coinbase και Binance. Αυτή η αρχική στόχευση, καθώς και το εξαιρετικά προσαρμόσιμο σετ εργαλείων, της κέρδισαν το όνομά της.

Η εικόνα άλλαξε τον Φεβρουάριο, ωστόσο, όταν κατοχύρωσαν τον τομέα fcc-okta[.]com, μιμούμενοι τη σελίδα Okta Single Sign On (SSO) που ανήκει στην Ομοσπονδιακή Επιτροπή Επικοινωνιών των ΗΠΑ (FCC). «Αυτό ξαφνικά έκανε αυτή την άνοδο από ένα από τα πολλά κιτ phishing καταναλωτών που βλέπουμε εκεί έξω, σε κάτι που θα στραφεί προς τη στόχευση της επιχείρησης, ακολουθώντας τα εταιρικά διαπιστευτήρια», θυμάται ο Richardson.

Ο Richardson επιβεβαίωσε στο Dark Reading ότι οι υπάλληλοι της FCC επηρεάστηκαν, αλλά δεν μπόρεσε να πει πόσοι ή αν οι επιθέσεις οδήγησαν σε οποιεσδήποτε συνέπειες για την υπηρεσία. Ήταν μια σοφιστικέ επίθεση, σημειώνει, ότι περιμένει να έχει δουλέψει ακόμη και σε εκπαιδευμένους υπαλλήλους.

Το πρόβλημα με το CryptoChameleon δεν ήταν μόνο ποιον στόχευε, αλλά πόσο καλά κατάφερε να τους νικήσει. Το κόλπο του ήταν ενδελεχής, υπομονετική, πρακτική ενασχόληση με τα θύματα.

Σκεφτείτε, για παράδειγμα, την τρέχουσα εκστρατεία κατά του LastPass.

Κλοπή Κύριων κωδικών πρόσβασης LastPass

Ξεκινά όταν ένας πελάτης λάβει μια κλήση από έναν αριθμό 888. Ένας Robo που καλεί ενημερώνει τον πελάτη ότι ο λογαριασμός του έχει πρόσβαση από μια νέα συσκευή. Στη συνέχεια, τους ζητά να πατήσουν "1" για να επιτρέψουν την πρόσβαση ή "2" για να το αποκλείσουν. Αφού πατήσουν το "2", τους λένε ότι θα λάβουν μια κλήση σύντομα από έναν εκπρόσωπο εξυπηρέτησης πελατών για να "κλείσουν το εισιτήριο".

Στη συνέχεια έρχεται η κλήση. Εν αγνοία του παραλήπτη, είναι από έναν πλαστό αριθμό. Στην άλλη άκρη της γραμμής είναι ένα ζωντανό άτομο, συνήθως με αμερικανική προφορά. Άλλα θύματα του CryptoChameleon έχουν επίσης αναφέρει ότι μίλησαν με Βρετανούς πράκτορες.

«Ο πράκτορας έχει επαγγελματικές δεξιότητες επικοινωνίας τηλεφωνικού κέντρου και προσφέρει πραγματικά καλές συμβουλές», θυμάται ο Richardson από τις πολλές συνομιλίες του με τα θύματα. «Έτσι, για παράδειγμα, μπορεί να πουν: «Θέλω να γράψετε αυτόν τον αριθμό τηλεφώνου υποστήριξης για μένα». Και έχουν τα θύματα να γράφουν τον πραγματικό αριθμό τηλεφώνου υποστήριξης για όποιον υποδύονται. Και μετά τους δίνουν μια ολόκληρη διάλεξη: «Καλέστε μας μόνο σε αυτόν τον αριθμό». Είχα μια αναφορά θύματος που στην πραγματικότητα είπαν, "Για λόγους ποιότητας και εκπαίδευσης, αυτή η κλήση καταγράφεται". Χρησιμοποιούν το πλήρες σενάριο κλήσης, όλα όσα μπορείτε να σκεφτείτε για να κάνετε κάποιον να πιστέψει ότι μιλάει πραγματικά με αυτήν την εταιρεία αυτή τη στιγμή."

Αυτός ο υποτιθέμενος αντιπρόσωπος υποστήριξης ενημερώνει τον χρήστη ότι θα στείλει ένα μήνυμα ηλεκτρονικού ταχυδρομείου σύντομα, επιτρέποντας στον χρήστη να επαναφέρει την πρόσβαση στον λογαριασμό του. Στην πραγματικότητα, αυτό είναι ένα κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει μια συντομευμένη διεύθυνση URL, που τα κατευθύνει σε έναν ιστότοπο ηλεκτρονικού ψαρέματος.

Ο βοηθητικός πράκτορας υποστήριξης παρακολουθεί σε πραγματικό χρόνο καθώς ο χρήστης εισάγει τον κύριο κωδικό πρόσβασης στον ιστότοπο αντιγραφής. Στη συνέχεια, το χρησιμοποιούν για να συνδεθούν στον λογαριασμό τους και αλλάζουν αμέσως τον κύριο αριθμό τηλεφώνου, τη διεύθυνση email και τον κύριο κωδικό πρόσβασης, κλειδώνοντας έτσι το θύμα οριστικά έξω.

Όλο αυτό το διάστημα, ο Richardson λέει, «Δεν συνειδητοποιούν ότι πρόκειται για απάτη - κανένα από τα θύματα με τα οποία μίλησα. Ένα άτομο είπε, "Δεν νομίζω ότι έβαλα ποτέ τον κύριο κωδικό μου εκεί". [Τους είπα] «Πέρασες 23 λεπτά στο τηλέφωνο με αυτούς τους τύπους. Μάλλον το έκανες.»

Η ζημιά

Το LastPass έκλεισε τον ύποπτο τομέα που χρησιμοποιήθηκε στην επίθεση — help-lastpass[.]com — λίγο μετά την κυκλοφορία του. Ωστόσο, οι εισβολείς ήταν επίμονοι, συνεχίζοντας τη δραστηριότητά τους με μια νέα διεύθυνση IP.

Με ορατότητα στα εσωτερικά συστήματα των επιτιθέμενων, ο Richardson κατάφερε να αναγνωρίσει τουλάχιστον οκτώ θύματα. Προσέφερε επίσης στοιχεία (τα οποία το Dark Reading κρατά εμπιστευτικά) που έδειχναν ότι μπορεί να υπήρχαν περισσότερα από αυτά.

Όταν ζητήθηκε περισσότερες πληροφορίες, ο ανώτερος αναλυτής πληροφοριών του LastPass, Mike Kosak, είπε στο Dark Reading, «Δεν αποκαλύπτουμε λεπτομέρειες σχετικά με τον αριθμό των πελατών που επηρεάζονται από αυτόν τον τύπο καμπάνιας, αλλά υποστηρίζουμε οποιονδήποτε πελάτη μπορεί να είναι θύμα αυτού και άλλων απάτες. Ενθαρρύνουμε τους ανθρώπους να αναφέρουν πιθανές απάτες ηλεκτρονικού "ψαρέματος" (phishing) και άλλη κακόβουλη δραστηριότητα που πλαστοπροσωπεί το LastPass σε εμάς στη διεύθυνση [προστασία μέσω email]. "

Υπάρχει Άμυνα;

Επειδή οι πρακτικοί επιτιθέμενοι CryptoChameleon συζητούν τα θύματά τους μέσω τυχόν φραγμών ασφαλείας όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA), η άμυνα εναντίον τους ξεκινά με την επίγνωση.

«Οι άνθρωποι πρέπει να γνωρίζουν ότι οι επιτιθέμενοι μπορούν να παραπλανήσουν αριθμούς τηλεφώνου – ότι μόνο και μόνο επειδή σας καλεί ένας αριθμός 800 ή 888, δεν σημαίνει ότι είναι νόμιμο», λέει ο Richardson, προσθέτοντας ότι «απλώς υπάρχει ένας Αμερικανός στην άλλη άκρη του η γραμμή επίσης δεν σημαίνει ότι είναι νόμιμη».

Μάλιστα, λέει «Μην απαντάτε στο τηλέφωνο από άγνωστους καλούντες. Ξέρω ότι αυτή είναι μια θλιβερή πραγματικότητα του κόσμου που ζούμε σήμερα».

Ωστόσο, ακόμη και με όλα τα μέτρα ευαισθητοποίησης και προφύλαξης που είναι γνωστά στους επαγγελματίες χρήστες και τους καταναλωτές, μια ιδιαίτερα εξελιγμένη επίθεση κοινωνικής μηχανικής μπορεί να περάσει.

«Ένα από τα θύματα του CryptoChameleon με τα οποία μίλησα ήταν συνταξιούχος επαγγελματίας πληροφορικής», θυμάται ο Richardson. «Είπε: «Έχω εκπαιδευτεί σε όλη μου τη ζωή για να μην πέφτω σε τέτοιου είδους επιθέσεις. Κάπως με έπεσε».

Το LastPass ζήτησε από το Dark Reading να υπενθυμίσει στους πελάτες τα ακόλουθα:

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam