Egy folyamatban lévő, rendkívül kifinomult adathalász kampány arra késztethetett néhány LastPass-felhasználót, hogy átadják a hackereknek a legfontosabb jelszavaikat.
A jelszókezelők egy helyen tárolják a felhasználó összes jelszavát – az Instagramhoz, a munkájukhoz és mindenhez, ami a kettő között van – egyetlen „fő” jelszóval védett helyen. Megkönnyítik a felhasználókat attól, hogy több száz fiók hitelesítő adatait meg kelljen jegyezniük, és lehetővé teszik számukra, hogy bonyolultabb, egyedi jelszavakat használjanak minden fiókhoz. Másrészt ha fenyegetőző hozzáfér a fő jelszóhoz, minden egyes fiókhoz kulcsuk lesz.
belép CryptoChameleon, egy új, gyakorlati adathalász készlet a páratlan realizmus.
A CryptoChameleon támadások általában nem annyira elterjedtek, de sikeresek egy olyan klipben, amelyre jórészt nem volt példa a kiberbűnözés világában, „ezért látjuk, hogy ez általában vállalatokat és más nagyon nagy értékű célpontokat céloz meg” – magyarázza David Richardson, a szervezet alelnöke. fenyegetés-felderítés a Lookoutnál, amely először azonosította és jelentette a LastPassnak a legújabb kampányt. "A jelszótároló egy természetes kiterjesztés, mert a nap végén nyilvánvalóan képes lesz arra, hogy bevételt szerezzen."
Eddig a CryptoChameleonnak legalább nyolc LastPass-ügyfelet – de valószínűleg többet – sikerült hálóba csalnia, felfedve fő jelszavát.
A CryptoChameleon rövid története
Eleinte a CryptoChameleon úgy nézett ki, mint bármely más adathalász készlet.
Az üzemeltetők tavaly év vége óta működtek. Januárban a Coinbase és a Binance kriptovaluta tőzsdéket célozták meg. Ez a kezdeti célzás, valamint a nagymértékben testreszabható eszközkészlet kiérdemelte a nevét.
A kép azonban megváltozott februárban, amikor regisztrálták az fcc-okta[.]com domaint, amely az Egyesült Államok Szövetségi Kommunikációs Bizottságához (FCC) tartozó Okta Single Sign On (SSO) oldalt utánozta. „Ez hirtelen felemelkedett a sok fogyasztói adathalász készlet egyikéből, amit ott találunk, és valami olyanná válik, amely a vállalat megcélzására, a vállalati hitelesítő adatokra törekszik” – emlékszik vissza Richardson.
Richardson megerősítette a Dark Readingnek, hogy az FCC alkalmazottai érintettek, de nem tudta megmondani, hányan voltak, és hogy a támadások milyen következményekkel jártak az ügynökségre nézve. Megjegyzi, ez egy kifinomult támadás volt, és arra számít, hogy még képzett alkalmazottakon is dolgozott.
A CryptoChameleon problémája nem csak az volt, hogy kiket céloz meg, hanem az is, hogy milyen jól sikerült legyőzni őket. A trükkje az áldozatokkal való alapos, türelmes, gyakorlati kapcsolat volt.
Gondoljunk pl. a LastPass elleni jelenlegi kampány.
LastPass mesterjelszavak ellopása
Akkor kezdődik, amikor az ügyfél hívást kap egy 888-as számról. A robo-hívó tájékoztatja az ügyfelet, hogy fiókjához új eszközről fértek hozzá. Ezután arra kéri őket, hogy nyomja meg az „1” gombot a hozzáférés engedélyezéséhez, vagy a „2” gombot a blokkoláshoz. A „2” gomb megnyomása után azt mondják nekik, hogy hamarosan felhívják őket egy ügyfélszolgálati képviselőtől, hogy „lezárják a jegyet”.
Aztán bejön a hívás. A címzett tudta nélkül, hamisított számról érkezik. A vonal másik végén egy élő személy, jellemzően amerikai akcentussal. Más CryptoChameleon áldozatok is arról számoltak be, hogy brit ügynökökkel beszéltek.
„Az ügynök professzionális telefonközpontú kommunikációs készségekkel rendelkezik, és valóban jó tanácsokat ad” – emlékszik vissza Richardson az áldozatokkal folytatott sok beszélgetéséből. „Így például azt mondják: „Azt akarom, hogy írja le nekem ezt a támogatási telefonszámot”. És áldozataik írják le a valódi ügyfélszolgálati telefonszámot annak, akit megszemélyesítenek. Aztán egy egész előadást tartanak nekik: "Csak ezen a számon hívjon minket." Volt egy áldozatjelentésem, amelyben azt mondták: "Minőségi és képzési okokból ezt a hívást rögzítjük." A teljes hívásszkriptet használják, mindent, ami eszébe jut, hogy valaki elhiggye, hogy most tényleg ezzel a céggel beszél.”
Ez a feltételezett támogatási ügynök tájékoztatja a felhasználót, hogy hamarosan e-mailt fog küldeni, amely lehetővé teszi a felhasználó számára, hogy visszaállítsa a fiókjához való hozzáférést. Valójában ez egy rosszindulatú e-mail, amely egy rövidített URL-t tartalmaz, és egy adathalász webhelyre irányítja őket.
A segítőkész támogatási ügynök valós időben figyeli, ahogy a felhasználó beírja a fő jelszavát a másolási webhelyre. Ezután ezzel bejelentkeznek a fiókjukba, és azonnal megváltoztatják az elsődleges telefonszámot, e-mail címet és a fő jelszót, ezáltal véglegesen kizárják az áldozatot.
Richardson mindvégig azt mondja: „Nem veszik észre, hogy ez átverés – egyik áldozat sem, akivel beszéltem. Egy ember azt mondta: "Azt hiszem, soha nem adtam meg a fő jelszavamat." [Mondtam nekik] „23 percet töltöttél a telefonnal ezekkel a srácokkal. Valószínűleg megtetted."
A kár
A LastPass röviddel az éles indítás után leállította a támadásban használt gyanús tartományt – help-lastpass[.]com. A támadók azonban kitartóak voltak, és új IP-címen folytatták tevékenységüket.
A támadók belső rendszereinek betekintésével Richardson legalább nyolc áldozatot tudott azonosítani. Bizonyítékokat is kínált (amelyeket a Dark Reading bizalmasan kezel), amelyek arra utalnak, hogy ennél többről lehetett szó.
Amikor további információkat kértek, a LastPass vezető hírszerzési elemzője, Mike Kosak a Dark Readingnek azt mondta: „Nem hozunk nyilvánosságra részleteket azon ügyfelek számáról, akiket érint az ilyen típusú kampány, de támogatunk minden olyan ügyfelet, aki ennek és más eseményeknek az áldozata lehet. csalások. Arra biztatjuk az embereket, hogy jelentsék a lehetséges adathalász csalásokat és a LastPass-t megszemélyesítő egyéb aljas tevékenységeket a következő címen: [e-mail védett]. "
Van valami védelem?
Mivel a gyakorlati CryptoChameleon támadók átbeszélik áldozataikat az esetleges biztonsági korlátokon, például a többtényezős hitelesítésen (MFA), az ellenük való védekezés a tudatossággal kezdődik.
„Az embereknek tisztában kell lenniük azzal, hogy a támadók meghamisíthatják a telefonszámokat – csak azért, mert egy 800-as vagy 888-as szám hívja Önt, még nem jelenti azt, hogy ez jogos” – mondja Richardson, hozzátéve, hogy „csak azért, mert egy amerikai van a másik végén. ez a vonal sem jelenti azt, hogy jogos.”
Valójában azt mondja: „Ne vegye fel az ismeretlen hívók telefonját. Tudom, hogy ez a mai világ szomorú valósága.
Még az üzleti felhasználók és a fogyasztók által ismert összes tudatosság és elővigyázatossági intézkedés ellenére is előfordulhat, hogy egy különösen kifinomult social engineering támadás átjuthat.
„Az egyik CryptoChameleon áldozat, akivel beszéltem, egy nyugdíjas informatikus volt” – emlékszik vissza Richardson. „Azt mondta: „Egész életemben arra edzettem, hogy ne essek be az efféle támadásoknak. Valahogy beleestem.”
A LastPass arra kérte a Dark Readinget, hogy emlékeztesse ügyfeleit a következőkre:
-
Figyelmen kívül hagyja a kéretlen vagy kéretlen bejövő telefonhívásokat (automatikusan vagy élő egyénnel), vagy az olyan szövegeket, amelyek azt állítják, hogy a LastPass-tól származnak, és amelyek a jelszava és/vagy fiókinformációinak legutóbbi megváltoztatására tett kísérlethez kapcsolódnak. Ezek egy folyamatban lévő adathalász kampány részei.
-
Ha látja ezt a tevékenységet, és attól tart, hogy esetleg feltörték, lépjen kapcsolatba a céggel a következő telefonszámon [e-mail védett].
-
És végül, a LastPass soha nem fogja kérni a jelszavát.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam
