Meneillään oleva, erittäin pitkälle kehitetty tietojenkalastelukampanja on saattanut saada jotkin LastPass-käyttäjät luovuttamaan kaikki tärkeät pääsalasanansa hakkereille.

Salasanojen hallintaohjelmat tallentavat kaikki käyttäjän salasanat – Instagramia, heidän työtään ja kaikkea siltä väliltä – yhteen paikkaan, suojattuina yhdellä "pääsalasanalla". Ne vähentävät käyttäjiä joutumasta muistamaan satojen tilien tunnistetiedot ja antavat heille mahdollisuuden käyttää monimutkaisempia, yksilöllisiä salasanoja jokaiselle tilille. Toisaalta, jos uhkatekijä pääsee pääsalasanaan, heillä on avaimet jokaiseen tiliin.

enter CryptoChameleon, uusi, käytännönläheinen tietojenkalastelupaketti vertaansa vailla olevasta realismista. 

CryptoChameleon-hyökkäykset eivät yleensä ole niin laajalle levinneitä, mutta ne menestyvät suurelta osin ennennäkemättömällä tavalla koko kyberrikollisuuden maailmassa, "siksi näemme tämän yleensä kohdistuvan yrityksiin ja muihin erittäin arvokkaisiin kohteisiin", selittää David Richardson, varatoimitusjohtaja. uhkatiedon Lookoutissa, joka ensimmäisenä tunnisti ja raportoi viimeisimmän kampanjan LastPassille. "Salasanavarasto on luonnollinen laajennus, koska pystyt ilmeisesti ansaitsemaan sen päivän päätteeksi."

Toistaiseksi CryptoChameleon on onnistunut saamaan ansaan ainakin kahdeksan LastPass-asiakasta – mutta todennäköisesti enemmän – paljastaen mahdollisesti pääsalasanansa.

CryptoCameleonin lyhyt historia

Aluksi CryptoChameleon näytti kuin mikä tahansa muu tietojenkalastelupaketti.

Sen operaattorit olivat toimineet viime vuoden lopusta lähtien. Tammikuussa he aloittivat kohdentamalla kryptovaluuttapörssejä Coinbase ja Binance. Tämä alkuperäinen kohdistus sekä sen erittäin muokattava työkalusarja ansaitsi sille nimensä.

Kuva kuitenkin muuttui helmikuussa, kun he rekisteröivät verkkotunnuksen fcc-okta[.]com, joka jäljitteli Yhdysvaltain liittovaltion viestintäkomissiolle (FCC) kuuluvaa Okta Single Sign On (SSO) -sivua. "Tämä yhtäkkiä sai tämän nousun yhdestä monista kuluttajien tietojenkalastelupaketeista, joita näemme siellä, joksikin, joka kääntyy kohdistamiseen yritykseen ja yritystietojen tavoittelemiseen", Richardson muistelee.

Richardson vahvisti Dark Readingille, että vaikutus vaikutti FCC:n työntekijöihin, mutta ei osannut sanoa kuinka monta tai onko iskuilla seurauksia virastolle. Se oli hienostunut hyökkäys, hän huomauttaa, että hän odottaa työskennelleensä jopa koulutettujen työntekijöiden parissa.

CryptoChameleonin ongelma ei ollut vain se, keneen se oli kohdistettu, vaan se, kuinka hyvin se onnistui kukistamaan heidät. Sen temppu oli perusteellinen, kärsivällinen, käytännön vuorovaikutus uhrien kanssa.

Harkitse esim. nykyinen kampanja LastPassia vastaan.

LastPass-pääsalasanojen varastaminen

Se alkaa, kun asiakas saa puhelun 888-numerosta. Robo-soittaja ilmoittaa asiakkaalle, että hänen tililleen on päästy uudesta laitteesta. Sitten se kehottaa heitä painamalla "1" salliaksesi pääsyn tai "2" estääksesi sen. Kun olet painanut "2", heille kerrotaan, että he saavat pian puhelun asiakaspalvelun edustajalta "sulkeakseen lipun".

Sitten puhelu tulee sisään. Vastaanottajan tietämättä se tulee huijausnumerosta. Linjan toisessa päässä on elävä henkilö, jolla on tyypillisesti amerikkalainen aksentti. Muut CryptoChameleonin uhrit ovat myös kertoneet puhuneensa brittiagenttien kanssa.

"Agentilla on ammattimaiset puhelinkeskuksen kommunikointitaidot ja hän tarjoaa aidosti hyviä neuvoja", Richardson muistelee useista keskusteluistaan ​​uhrien kanssa. "Joten he voivat esimerkiksi sanoa: "Haluan sinun kirjoittavan minulle tämän tukipuhelinnumeron." Ja heillä on uhreja, jotka kirjoittavat muistiin sen oikean puhelinnumeron, jota he esiintyvät. Ja sitten he pitävät heille koko luennon: "Soita meille vain tähän numeroon." Minulla oli uhriraportti, jossa he todella sanoivat: "Laatu- ja koulutussyistä tämä puhelu nauhoitetaan." He käyttävät täyttä puheluskriptiä, kaikkea mitä voit ajatella saadakseen jonkun uskomaan, että he todella puhuvat tämän yrityksen kanssa juuri nyt."

Tämä oletettu tukiagentti ilmoittaa käyttäjälle, että hän lähettää pian sähköpostin, jolloin käyttäjä voi nollata tilin käyttöoikeuden. Itse asiassa tämä on haitallinen sähköposti, joka sisältää lyhennetyn URL-osoitteen, joka ohjaa heidät tietojenkalastelusivustolle.

Avulias tukiagentti seuraa reaaliajassa, kun käyttäjä syöttää pääsalasanansa kopiointisivustolle. Sitten he käyttävät sitä kirjautuakseen tililleen ja vaihtavat välittömästi ensisijaisen puhelinnumeron, sähköpostiosoitteen ja pääsalasanan, mikä lukitsee uhrin lopullisesti.

Koko ajan Richardson sanoo: "He eivät ymmärrä, että se on huijaus - ei kukaan uhreista, joiden kanssa puhuin. Yksi henkilö sanoi: "En usko, että en koskaan syöttänyt pääsalasanaani sinne." [Kerroin heille] "Vietit 23 minuuttia puhelimessa näiden kaverien kanssa. Todennäköisesti teit.”

Vahinko

LastPass sulki hyökkäyksessä käytetyn epäilyttävän verkkotunnuksen – help-lastpass[.]com – pian sen julkaisemisen jälkeen. Hyökkääjät ovat kuitenkin olleet sinnikkäitä ja jatkaneet toimintaansa uudella IP-osoitteella.

Hyökkääjien sisäisten järjestelmien näkyvyyden ansiosta Richardson pystyi tunnistamaan ainakin kahdeksan uhria. Hän tarjosi myös todisteita (jotka Dark Reading pitää luottamuksellisina), jotka osoittavat, että niitä saattoi olla enemmänkin.

Kysyttäessä lisätietoja LastPassin vanhempi tiedusteluanalyytikko Mike Kosak kertoi Dark Readingille: "Emme paljasta yksityiskohtia asiakkaiden määrästä, joihin tämäntyyppinen kampanja vaikuttaa, mutta tuemme kaikkia asiakkaita, jotka saattavat joutua tämän ja muiden uhriksi. huijauksia. Kannustamme ihmisiä ilmoittamaan meille mahdollisista tietojenkalasteluhuijauksista ja muusta ilkeästä toiminnasta, jossa esiintyy LastPass. [sähköposti suojattu]"

Onko puolustusta?

Koska käytännönläheiset CryptoChameleon-hyökkääjät puhuvat uhreilleen mahdollisten turvallisuusesteiden, kuten monitekijätodennuksen (MFA) läpi, puolustautuminen heitä vastaan ​​alkaa tiedostamalla.

"Ihmisten on oltava tietoisia siitä, että hyökkääjät voivat huijata puhelinnumeroita - että vain siksi, että 800- tai 888-numero soittaa sinulle, se ei tarkoita, että se on laillista", Richardson sanoo ja lisää, että "vain siksi, että amerikkalainen on toisessa päässä. linja ei myöskään tarkoita, että se on laillinen."

Itse asiassa hän sanoo: "Älä vastaa tuntemattomien soittajien puhelimeen. Tiedän, että se on surullinen todellisuus maailmassa, jossa elämme tänään."

Kaikesta yrityskäyttäjien ja kuluttajien tiedossa olevasta tietoisuudesta ja varotoimista huolimatta erityisen hienostunut manipulointihyökkäys saattaa silti selvitä.

"Yksi CryptoChameleonin uhreista, jonka kanssa puhuin, oli eläkkeellä oleva IT-ammattilainen", Richardson muistelee. Hän sanoi: 'Olen kouluttautunut koko elämäni, jotta en joutuisi tällaisiin hyökkäyksiin. Jotenkin rakastuin siihen."

LastPass on pyytänyt Dark Readingia muistuttamaan asiakkaita seuraavista:

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam