ייתכן שמסע דיוג מתמשך ומתוחכם מאוד הוביל חלק ממשתמשי LastPass לוותר על סיסמאות המאסטר החשובות שלהם להאקרים.

מנהלי סיסמאות מאחסנים את כל הסיסמאות של המשתמש - עבור אינסטגרם, העבודה שלו וכל מה שביניהם - במקום אחד, מוגן על ידי סיסמת "מאסטר" אחת. הם מורידים את המשתמשים מהצורך לזכור אישורים עבור מאות חשבונות, ומאפשרים להם להשתמש בסיסמאות מסובכות וייחודיות יותר עבור כל חשבון. מצד שני, אם שחקן איום מקבל גישה לסיסמת האב, יהיו להם מפתחות לכל אחד מהחשבונות שבפנים.

זן CryptoChameleon, ערכת דיוג חדשה ומעשית של ריאליזם שאין שני לו. 

התקפות CryptoChameleon נוטות לא להיות נפוצות כל כך, אבל הן מצליחות בקליפ שלא נראה ברובו בעולם פשעי הסייבר, "בגלל זה אנחנו בדרך כלל רואים את זה מכוון למפעלים ולמטרות אחרות בעלות ערך גבוה מאוד", מסביר דיוויד ריצ'רדסון, סגן נשיא מודיעין איומים ב- Lookout, שזיהה לראשונה ודיווח על הקמפיין האחרון ל- LastPass. "כספת סיסמאות היא הרחבה טבעית, כי ברור שתצליח להרוויח מזה בסופו של יום."

עד כה, CryptoChameleon הצליחה ללכד לפחות שמונה לקוחות LastPass - אך ככל הנראה יותר - בפוטנציה לחשוף את סיסמאות האב שלהם.

היסטוריה קצרה של CryptoChameleon

בהתחלה, CryptoChameleon נראה כמו כל ערכת דיוג אחרת.

המפעילים שלה היו בסביבה מאז סוף השנה שעברה. בינואר הם התחילו במיקוד לבורסות המטבעות הקריפטוגרפיים Coinbase ו-Binance. המיקוד הראשוני הזה, בתוספת ערכת הכלים הניתנים להתאמה אישית, זיכו אותו בשמו.

עם זאת, התמונה השתנתה בפברואר, כאשר הם רשמו את הדומיין fcc-okta[.]com, מחקה את עמוד Okta Single Sign On (SSO) השייך לוועדת התקשורת הפדרלית של ארה"ב (FCC). "זה פתאום גרם לעלייה מאחת מני ערכות דיוג לצרכנים רבים שאנחנו רואים שם בחוץ, למשהו שעתיד להתמקד במיקוד לארגון, ללכת אחרי אישורי תאגיד", נזכר ריצ'רדסון.

ריצ'רדסון אישר לדארק רידינג שעובדי ה-FCC הושפעו, אך לא ידע לומר כמה או אם ההתקפות הובילו להשלכות כלשהן על הסוכנות. זו הייתה מתקפה מתוחכמת, הוא מציין, שהוא מצפה שעבד אפילו על עובדים מיומנים.

הבעיה עם CryptoChameleon לא הייתה רק למי היא מכוונת, אלא עד כמה היא הצליחה להביס אותם. הטריק שלה היה מעורבות יסודית, סבלנית, מעשית עם קורבנות.

קחו למשל, הקמפיין הנוכחי נגד LastPass.

גניבת סיסמאות מאסטר של LastPass

זה מתחיל כאשר לקוח מקבל שיחה ממספר 888. מתקשר רובו מודיע ללקוח שהגישה לחשבון שלו ממכשיר חדש. לאחר מכן הוא מבקש מהם ללחוץ על "1" כדי לאפשר גישה, או "2" כדי לחסום אותו. לאחר לחיצה על "2", נאמר להם שהם יקבלו שיחה בקרוב מנציג שירות לקוחות על מנת "לסגור את הכרטיס".

ואז נכנסת השיחה. ללא ידיעת הנמען, היא ממספר מזויף. בצד השני של הקו נמצא אדם חי, בדרך כלל עם מבטא אמריקאי. קורבנות אחרים של CryptoChameleon דיווחו גם הם ששוחחו עם סוכנים בריטיים.

"לסוכן יש מיומנויות תקשורת מקצועיות במוקד טלפוני, והוא מציע עצות טובות באמת", נזכר ריצ'רדסון משיחותיו הרבות עם הקורבנות. "אז, למשל, הם עשויים לומר: 'אני רוצה שתכתוב לי את מספר הטלפון של התמיכה הזה'. ויש להם קורבנות לרשום את מספר הטלפון האמיתי של התמיכה למי שהם מתחזים. ואז הם נותנים להם הרצאה שלמה: 'תתקשר אלינו רק למספר הזה'. היה לי דיווח על קורבן שבעצם אמרו 'למטרות איכות והדרכה, השיחה הזו מוקלטת'. הם משתמשים בתסריט השיחה המלא, כל מה שאתה יכול לחשוב עליו כדי לגרום למישהו להאמין שהוא באמת מדבר עם החברה הזו עכשיו."

סוכן תמיכה זה אמור ליידע את המשתמש שהוא ישלח דוא"ל בקרוב, מה שמאפשר למשתמש לאפס את הגישה לחשבון שלו. למעשה, מדובר באימייל זדוני המכיל כתובת URL מקוצרת, המפנה אותם לאתר דיוג.

סוכן התמיכה המועיל צופה בזמן אמת בזמן שהמשתמש מזין את סיסמת האב שלו לאתר העתקה. לאחר מכן הם משתמשים בו כדי להיכנס לחשבון שלהם, ומיד משנים את מספר הטלפון הראשי, כתובת האימייל והסיסמה הראשית, ובכך נועלים את הקורבן בחוץ סופית.

כל אותו זמן, אומר ריצ'רדסון, "הם לא מבינים שזו הונאה - אף אחד מהקורבנות שאיתם דיברתי. אדם אחד אמר, 'אני לא חושב שאי פעם הכנסתי את סיסמת המאסטר שלי שם'. [אמרתי להם] 'ביליתם 23 דקות בטלפון עם החבר'ה האלה. כנראה עשית'".

הנזק

LastPass סגר את הדומיין החשוד ששימש בהתקפה - help-lastpass[.]com - זמן קצר לאחר שעלה לאוויר. התוקפים היו מתמידים, עם זאת, ממשיכים בפעילותם תחת כתובת IP חדשה.

עם נראות לתוך המערכות הפנימיות של התוקפים, ריצ'רדסון הצליח לזהות לפחות שמונה קורבנות. הוא גם הציע ראיות (שאפל רידינג שומרת חסויות) המצביעות על כך שאולי היו יותר מזה.

כאשר התבקש מידע נוסף, אנליסט המודיעין הבכיר של LastPass, מייק קוסאק, אמר ל-Dark Reading, "איננו חושפים פרטים על מספר הלקוחות המושפעים מקמפיין מסוג זה, אך אנו תומכים בכל לקוח שעלול להיות קורבן של זה ואחרים אחרים. הונאות. אנו מעודדים אנשים לדווח לנו על הונאות דיוג פוטנציאליות ופעילות מרושעת אחרת המתחזה לנו ל-LastPass בכתובת [מוגן בדוא"ל]".

האם יש הגנה?

מכיוון שתוקפי CryptoChameleon מעידים את קורבנותיהם דרך מחסומי אבטחה פוטנציאליים כמו אימות רב-גורמי (MFA), ההגנה מפניהם מתחילה במודעות.

"אנשים צריכים להיות מודעים לכך שתוקפים יכולים לזייף מספרי טלפון - שרק בגלל שמספר 800 או 888 מתקשר אליך, זה לא אומר שזה לגיטימי", אומר ריצ'רדסון ומוסיף כי "רק בגלל שיש אמריקאי בצד השני של הקו גם לא אומר שהוא לגיטימי".

למעשה, הוא אומר, "אל תענה לטלפון ממתקשרים לא ידועים. אני יודע שזו מציאות עצובה של העולם שבו אנו חיים היום".

למרות כל המודעות ואמצעי הזהירות המוכרים למשתמשים עסקיים ולצרכנים, מתקפה של הנדסה חברתית מתוחכמת במיוחד עדיין עלולה לעבור.

"אחד מהקורבנות של CryptoChameleon שדיברתי איתם היה איש IT בדימוס", נזכר ריצ'רדסון. "הוא אמר, 'התאמןתי כל החיים שלי כדי לא ליפול לסוגים של התקפות כאלה. איכשהו נפלתי לזה'".

LastPass ביקשה מ-Dark Reading להזכיר ללקוחות את הדברים הבאים:

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam