An ongoing, highly sophisticated phishing campaign may have led some LastPass users to give up their all-important master passwords to hackers.

Pengelola kata sandi menyimpan semua kata sandi pengguna — untuk Instagram, pekerjaan mereka, dan segala sesuatu di antaranya — di satu tempat, dilindungi oleh satu kata sandi “master”. Mereka membebaskan pengguna dari keharusan mengingat kredensial ratusan akun, dan memberdayakan mereka untuk menggunakan kata sandi yang lebih rumit dan unik untuk setiap akun. Di sisi lain, jika merupakan aktor ancaman mendapatkan akses ke kata sandi utama, mereka akan memiliki kunci untuk setiap akun di dalamnya.

Enter CryptoChameleon, perangkat phishing praktis yang baru realisme yang tak tertandingi. 

Serangan CryptoChameleon cenderung tidak meluas, namun berhasil dalam skala yang tidak pernah terjadi di dunia kejahatan dunia maya, “itulah sebabnya kami biasanya melihat serangan ini menyasar perusahaan dan target bernilai tinggi lainnya,” jelas David Richardson, wakil presiden dari CryptoChameleon. intelijen ancaman di Lookout, yang pertama kali mengidentifikasi dan melaporkan kampanye terbaru ke LastPass. “Penyimpanan kata sandi adalah perpanjangan alami, karena Anda jelas akan dapat memonetisasinya pada akhirnya.”

Thus far, CryptoChameleon has managed to ensnare at least eight LastPass customers — but likely more — potentially exposing their master passwords.

Sejarah Singkat CryptoChameleon

Pada awalnya, CryptoChameleon tampak seperti alat phishing lainnya.

Operatornya sudah ada sejak akhir tahun lalu. Pada bulan Januari, mereka mulai dengan menargetkan pertukaran mata uang kripto Coinbase dan Binance. Penargetan awal ini, ditambah perangkat yang sangat dapat disesuaikan, menjadikannya mendapatkan namanya.

Namun gambaran tersebut berubah pada bulan Februari, ketika mereka mendaftarkan domain fcc-okta[.]com, meniru halaman Okta Single Sign On (SSO) milik Komisi Komunikasi Federal (FCC) AS. “Hal ini tiba-tiba mengubah hal ini dari salah satu alat phishing konsumen yang kita lihat di luar sana, menjadi sesuatu yang mengarah pada penargetan perusahaan, mengejar kredensial perusahaan,” kenang Richardson.

Richardson confirmed to Dark Reading that FCC employees were impacted, but could not say how many or whether the attacks led to any consequences for the agency. It was a sophisticated attack, he notes, that he expects to have worked even on trained employees.

Masalah dengan CryptoChameleon bukan hanya pada siapa targetnya, namun seberapa baik ia mengalahkan mereka. Caranya adalah dengan melibatkan para korban secara menyeluruh, sabar, dan langsung.

Pertimbangkan, misalnya, the current campaign against LastPass.

Mencuri Kata Sandi Utama LastPass

Ini dimulai ketika pelanggan menerima panggilan dari nomor 888. Penelepon robo memberi tahu pelanggan bahwa akun mereka telah diakses dari perangkat baru. Kemudian meminta mereka untuk menekan “1” untuk mengizinkan akses, atau “2” untuk memblokirnya. Setelah menekan “2”, mereka diberitahu bahwa mereka akan segera menerima panggilan dari perwakilan layanan pelanggan untuk “menutup tiket”.

Lalu ada panggilan masuk. Tanpa sepengetahuan penerima, itu dari nomor palsu. Di ujung telepon yang lain adalah orang yang hidup, biasanya dengan aksen Amerika. Korban CryptoChameleon lainnya juga melaporkan berbicara dengan agen Inggris.

“Agen tersebut memiliki keterampilan komunikasi pusat panggilan yang profesional, dan memberikan nasihat yang benar-benar baik,” Richardson mengingat kembali percakapannya dengan para korban. “Jadi, misalnya, mereka mungkin berkata: 'Saya ingin Anda menuliskan nomor telepon dukungan ini untuk saya.' Dan mereka meminta korban menuliskan nomor telepon dukungan sebenarnya untuk siapa pun yang mereka tiru. Dan kemudian mereka memberi mereka ceramah lengkap: 'Hubungi kami hanya di nomor ini.' Saya mendapat laporan korban yang mengatakan, 'Demi kualitas dan tujuan pelatihan, panggilan ini direkam.' Mereka menggunakan skrip panggilan lengkap, segala sesuatu yang dapat Anda pikirkan untuk membuat seseorang percaya bahwa mereka benar-benar sedang berbicara dengan perusahaan ini saat ini.”

Agen dukungan ini memberi tahu pengguna bahwa mereka akan segera mengirim email, sehingga pengguna dapat mengatur ulang akses ke akun mereka. Faktanya, ini adalah email berbahaya yang berisi URL singkat, mengarahkan mereka ke situs phishing.

Agen dukungan yang membantu mengawasi secara real time saat pengguna memasukkan kata sandi utama mereka ke situs peniru. Kemudian mereka menggunakannya untuk masuk ke akun mereka, dan segera mengubah nomor telepon utama, alamat email, dan kata sandi utama, sehingga mengunci korban selamanya.

All the while, Richardson says, “They don’t realize it’s a scam — none of the victims I talked to. One person said, ‘I don’t think I ever entered my master password in there.’ [I told them] ‘You spent 23 minutes on the phone with these guys. You probably did.'”

Kerusakan

LastPass shut down the suspicious domain used in the attack — help-lastpass[.]com — shortly after it went live. The attackers have been persistent, though, continuing their activity under a new IP address.

Dengan visibilitas ke dalam sistem internal para penyerang, Richardson mampu mengidentifikasi setidaknya delapan korban. Dia juga memberikan bukti (yang dirahasiakan oleh Dark Reading) yang menunjukkan bahwa mungkin ada lebih dari itu.

Ketika ditanya informasi lebih lanjut, analis intelijen senior LastPass Mike Kosak mengatakan kepada Dark Reading, “Kami tidak mengungkapkan rincian jumlah pelanggan yang terkena dampak kampanye jenis ini, namun kami mendukung setiap pelanggan yang mungkin menjadi korban dari kampanye ini dan lainnya. penipuan. Kami mendorong orang-orang untuk melaporkan potensi penipuan phishing dan aktivitas jahat lainnya yang meniru identitas LastPass kepada kami di [email dilindungi]. "

Apakah Ada Pembelaan?

Karena penyerang CryptoChameleon langsung membujuk korbannya untuk mengatasi potensi hambatan keamanan seperti autentikasi multifaktor (MFA), maka pertahanan terhadap korban dimulai dengan kesadaran.

“Masyarakat perlu menyadari bahwa penyerang dapat memalsukan nomor telepon — bahwa hanya karena nomor 800 atau 888 menelepon Anda, bukan berarti nomor tersebut sah,” kata Richardson, menambahkan bahwa “hanya karena ada orang Amerika di ujung telepon garis tersebut juga tidak berarti sah.”

Faktanya, dia berkata, “Jangan menjawab telepon dari penelepon yang tidak dikenal. Saya tahu itu adalah kenyataan menyedihkan yang kita jalani saat ini.”

Even with all the awareness and precautionary measures known to business users and consumers, though, a particularly sophisticated social engineering attack might still get through.

“One of the CryptoChameleon victims I talked to was a retired IT professional,” Richardson recalls. “He said, ‘I’ve gotten training my whole life to not fall for these kinds of attacks. Somehow I fell for it’.”

LastPass has asked Dark Reading to remind customers of the following:

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam