Áframhaldandi, mjög háþróuð vefveiðaherferð gæti hafa leitt til þess að sumir LastPass notendur hafi gefið upp mikilvæg aðallykilorð sín til tölvuþrjóta.

Lykilorðsstjórar geyma öll lykilorð notanda - fyrir Instagram, starf þeirra og allt þar á milli - á einum stað, varið með einu „meistara“ lykilorði. Þeir aflasta notendur frá því að þurfa að muna skilríki fyrir hundruð reikninga og gera þeim kleift að nota flóknari, einstök lykilorð fyrir hvern reikning. Hins vegar ef ógnarleikari fær aðgang að aðallykilorðinu, munu þeir hafa lykla að hverjum einasta reikningi innan.

Sláðu inn CryptoChameleon, nýtt, hagnýtt vefveiðasett af óviðjafnanlegu raunsæi. 

CryptoChameleon árásir hafa tilhneigingu til að vera ekki svo útbreiddar, en þær eru árangursríkar í myndbandi sem er að mestu óséður um allan netglæpaheiminn, "þess vegna sjáum við þetta venjulega miða á fyrirtæki og önnur mjög verðmæt skotmörk," útskýrir David Richardson, varaforseti ógnarnjósnir hjá Lookout, sem fyrst greindi og tilkynnti um nýjustu herferðina til LastPass. „Lykilorðshólf er náttúruleg viðbót, því þú munt augljóslega geta aflað tekna af því í lok dags.

Hingað til hefur CryptoChameleon tekist að fanga að minnsta kosti átta LastPass viðskiptavini - en líklega fleiri - sem hugsanlega afhjúpa aðal lykilorð þeirra.

Stutt saga CryptoChameleon

Í fyrstu leit CryptoChameleon út eins og hvert annað veiðisett.

Rekstraraðilar þess höfðu verið til síðan seint á síðasta ári. Í janúar byrjuðu þeir á því að miða á cryptocurrency kauphallirnar Coinbase og Binance. Þessi upphaflega miðun, auk mjög sérhannaðar verkfærasetts, fékk nafnið sitt.

Myndin breyttist þó í febrúar þegar þeir skráðu lénið fcc-okta[.]com, sem líkti eftir Okta Single Sign On (SSO) síðunni sem tilheyrir bandarísku alríkissamskiptanefndinni (FCC). „Þetta varð skyndilega til þess að þessi hækkun varð úr einu af mörgum neytendavefveiðum sem við sjáum þarna úti, yfir í eitthvað sem mun snúast um að miða á fyrirtækið, fara eftir skilríkjum fyrirtækja,“ rifjar Richardson upp.

Richardson staðfesti við Dark Reading að starfsmenn FCC væru fyrir áhrifum, en gat ekki sagt hversu margir eða hvort árásirnar leiddu til einhverra afleiðinga fyrir stofnunina. Þetta var háþróuð árás, segir hann, að hann býst við að hafa unnið jafnvel á þjálfaða starfsmenn.

Vandamálið með CryptoChameleon var ekki bara hver það var að miða á, heldur hversu vel það tókst að sigra þá. Bragð hennar var ítarleg, þolinmóð, praktísk samskipti við fórnarlömb.

Skoðum td. núverandi herferð gegn LastPass.

Að stela LastPass aðallykilorðum

Það byrjar þegar viðskiptavinur fær símtal frá 888 númeri. Robo hringir upplýsir viðskiptavininn um að reikningur hans hafi verið opnaður úr nýju tæki. Það biður þá um að ýta á „1“ til að leyfa aðgang, eða „2“ til að loka á það. Eftir að hafa ýtt á „2“ er þeim sagt að þeir muni fá símtal innan skamms frá þjónustufulltrúa til að „loka miðanum“.

Svo kemur símtalið. Án þess að viðtakandinn viti það er það frá falsuðu númeri. Á hinum enda línunnar er lifandi manneskja, venjulega með amerískan hreim. Önnur fórnarlömb CryptoChameleon hafa einnig greint frá því að hafa talað við breska umboðsmenn.

„Umboðsmaðurinn hefur faglega samskiptahæfileika í símaveri og býður upp á virkilega góð ráð,“ rifjar Richardson upp úr mörgum samtölum sínum við fórnarlömb. „Þannig að þeir gætu til dæmis sagt: 'Ég vil að þú skráir þetta stuðningssímanúmer fyrir mig.' Og þeir láta fórnarlömb skrifa niður raunverulegt stuðningssímanúmer fyrir hvern sem þeir eru að herma eftir. Og svo halda þeir þeim heilan fyrirlestur: 'Hringdu bara í okkur í þessu númeri.' Ég var með fórnarlambsskýrslu um að þeir sögðu í raun og veru: "Í gæða- og þjálfunarskyni er verið að taka upp þetta símtal." Þeir nota allt símtalshandritið, allt sem þér dettur í hug til að fá einhvern til að trúa því að hann sé í alvörunni að tala við þetta fyrirtæki núna.“

Þessi ætlaði stuðningsfulltrúi upplýsir notandann um að hann muni senda tölvupóst innan skamms, sem gerir notandanum kleift að endurstilla aðgang að reikningnum sínum. Reyndar er þetta illgjarn tölvupóstur sem inniheldur stytta vefslóð sem vísar þeim á vefveiðar.

Hinn hjálplegi stuðningsfulltrúi fylgist með því í rauntíma þegar notandinn slær inn aðallykilorðið sitt á copycat-síðuna. Síðan nota þeir það til að skrá sig inn á reikninginn sinn og breyta strax aðalsímanúmerinu, netfanginu og aðallykilorðinu og loka þannig fórnarlambinu úti fyrir fullt og allt.

Allan tímann segir Richardson: „Þeir gera sér ekki grein fyrir að þetta er svindl - ekkert fórnarlambanna sem ég talaði við. Ein manneskja sagði: 'Ég held að ég hafi aldrei slegið inn aðallykilorðið mitt þarna.' [Ég sagði þeim] „Þú eyddir 23 mínútum í símanum með þessum strákum. Þú gerðir það líklega.'“

Tjónið

LastPass lokaði grunsamlega léninu sem notað var í árásinni - help-lastpass[.]com - stuttu eftir að það fór í loftið. Árásarmennirnir hafa þó verið þrálátir og haldið áfram virkni sinni undir nýrri IP tölu.

Með sýnileika í innri kerfi árásarmannanna gat Richardson borið kennsl á að minnsta kosti átta fórnarlömb. Hann lagði einnig fram sönnunargögn (sem Dark Reading heldur trúnaði) sem bentu til þess að það gæti hafa verið meira en það.

Þegar hann var beðinn um frekari upplýsingar sagði Mike Kosak, yfirmaður leyniþjónustusérfræðingar LastPass við Dark Reading, „Við birtum ekki upplýsingar um fjölda viðskiptavina sem verða fyrir áhrifum af þessari tegund herferðar, en við styðjum alla viðskiptavini sem kunna að verða fórnarlamb þessa og annarra svindl. Við hvetjum fólk til að tilkynna okkur um hugsanlega vefveiðar og aðra svívirðilega virkni sem líkir eftir LastPass á [netvarið]. "

Er einhver vörn?

Vegna þess að praktískir CryptoChameleon árásarmenn tala fórnarlömb sín í gegnum allar hugsanlegar öryggishindranir eins og fjölþátta auðkenningu (MFA), byrjar vörn gegn þeim með vitund.

„Fólk þarf að vera meðvitað um að árásarmenn geta falsað símanúmer - að bara vegna þess að 800 eða 888 númer hringir í þig þýðir það ekki að það sé lögmætt,“ segir Richardson og bætir við að „bara vegna þess að það er Bandaríkjamaður hinum megin á línan þýðir heldur ekki að hún sé lögmæt.“

Reyndar segir hann: „Ekki svara í símann frá óþekktum þeim sem hringja. Ég veit að þetta er sorglegur veruleiki í heiminum sem við búum í í dag.“

Jafnvel með alla þá vitundar- og varúðarráðstafanir sem viðskiptanotendur og neytendur þekkja, gæti sérlega háþróuð félagsleg verkfræðiárás samt komist í gegn.

„Eitt af fórnarlömbum CryptoChameleon sem ég talaði við var upplýsingatæknifræðingur á eftirlaunum,“ rifjar Richardson upp. „Hann sagði: „Ég hef æft mig alla ævi til að falla ekki fyrir svona árásum. Einhvern veginn féll ég fyrir því'."

LastPass hefur beðið Dark Reading að minna viðskiptavini á eftirfarandi:

• SEO knúið efni og PR dreifing. Fáðu magnara í dag.
• PlatoData.Network Vertical Generative Ai. Styrktu sjálfan þig. Aðgangur hér.
• PlatoAiStream. Web3 upplýsingaöflun. Þekking aukin. Aðgangur hér.
• PlatóESG. Kolefni, CleanTech, Orka, Umhverfi, Sól, Úrgangsstjórnun. Aðgangur hér.
• PlatoHealth. Líftækni og klínísk rannsóknagreind. Aðgangur hér.
• Heimild: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam