現在進行中の高度に洗練されたフィッシング キャンペーンにより、一部の LastPass ユーザーが非常に重要なマスター パスワードをハッカーに渡してしまった可能性があります。

パスワード マネージャーは、ユーザーのすべてのパスワード (Instagram、仕事、その他すべて) を 1 か所に保存し、1 つの「マスター」パスワードで保護します。これにより、ユーザーは何百ものアカウントの資格情報を記憶する必要がなくなり、アカウントごとにより複雑で一意のパスワードを使用できるようになります。一方、脅威アクターの場合は、 マスターパスワードへのアクセスを取得します、彼らはその中のすべてのアカウントへのキーを持っています。

入力します CryptoChameleon、新しい実践的なフィッシング キット 比類のないリアリズム。 

CryptoChameleon 攻撃はそれほど広範囲に及ぶことはない傾向にありますが、サイバー犯罪の世界ではほとんど見られない場面で成功しています。「そのため、この攻撃は企業やその他の非常に価値の高い標的をターゲットにしているのが一般的です」と、CryptoChameleon のバイスプレジデントである David Richardson 氏は説明します。 Lookout の脅威インテリジェンスは、最新のキャンペーンを最初に特定し、LastPass に報告しました。 「パスワード保管庫は自然な拡張機能です。なぜなら、最終的には明らかに収益化できるからです。」

これまでのところ、CryptoChameleon は少なくとも 8 人の LastPass 顧客を罠にはめ、マスター パスワードを漏らす可能性があります。

CryptoChameleon の簡単な歴史

当初、CryptoChameleon は他のフィッシング キットと同じように見えました。

その運営者は昨年末から存在していた。 1月に彼らは仮想通貨取引所のCoinbaseとBinanceを標的にすることから始めた。この最初のターゲティングと、高度にカスタマイズ可能なツールセットにより、その名前が付けられました。

しかし、2 月に米国の連邦通信委員会 (FCC) に属する Okta シングル サインオン (SSO) ページを模倣したドメイン fcc-okta[.]com が登録されたことで状況は変わりました。 「これにより、これは、世に出回っている多くの消費者向けフィッシング キットの 1 つから、企業をターゲットにし、企業の認証情報を狙うものへと突然台頭しました」とリチャードソン氏は回想します。

リチャードソン氏はダーク・リーディングに対し、FCC職員が影響を受けたことを認めたが、その数や攻撃がFCCに何らかの結果をもたらしたかどうかについては明らかにできなかった。これは高度な攻撃であり、訓練を受けた従業員にも効果があったと予想されると同氏は指摘する。

CryptoChameleon の問題は、ターゲットが誰であるかだけではなく、彼らを倒すのにどれだけうまくいったかということでした。その秘訣は、被害者と徹底的に、忍耐強く、実践的に関わることでした。

たとえば、次のように考えてみましょう。 LastPass に対する現在のキャンペーン.

LastPass マスターパスワードの盗用

これは、顧客が 888 番号から電話を受けると始まります。ロボ発信者は、顧客のアカウントが新しいデバイスからアクセスされたことを顧客に通知します。次に、アクセスを許可する場合は「1」を押すか、ブロックする場合は「2」を押すように求められます。 「2」を押すと、「チケットをクローズする」ために、すぐにカスタマー サービス担当者から電話がかかると言われます。

その後、電話がかかってきます。受信者には気づかれずに、なりすましの番号からの電話です。電話の相手は生身の人間で、通常はアメリカなまりを持っています。他のCryptoChameleon被害者も英国のエージェントと話したと報告している。

「エージェントは専門的なコールセンターのコミュニケーションスキルを持っており、本当に良いアドバイスを提供してくれます」とリチャードソン氏は被害者との多くの会話を思い出します。 「そこで、たとえば、『このサポートの電話番号を書き留めておいてほしいのですが』と言うかもしれません。」そして、なりすました相手の本当のサポート電話番号を被害者に書き留めさせます。そして彼らは「この番号にのみ電話してください」と丸々説教します。実際に「品質とトレーニングの目的で、この通話は録音されています」と言われたという被害者の報告がありました。彼らは完全な通話スクリプトを使用しており、今まさにこの会社と話していると相手に信じ込ませるために考えられるすべての手段を使用しています。」

この想定されるサポート エージェントは、間もなく電子メールを送信することをユーザーに通知し、ユーザーが自分のアカウントへのアクセスをリセットできるようにします。実はこれは、フィッシングサイトへ誘導する短縮URLを含む悪意のあるメールです。

親切なサポート エージェントは、ユーザーが模倣サイトにマスター パスワードを入力するのをリアルタイムで監視します。次に、彼らはそれを使用して自分のアカウントにログインし、すぐに主要な電話番号、電子メール アドレス、マスター パスワードを変更し、被害者を永久にロックアウトします。

その間ずっと、リチャードソンは言う。「彼らは、これが詐欺であることに気づいていません。私が話した被害者の中には誰もいませんでした。ある人は、「マスターパスワードをそこに入力したことはないと思います」と言いました。 [私は彼らに言いました] 『あなたはこの人たちと電話で 23 分を費やしました。おそらくそうだったでしょうね。』

ダメージ

LastPass は、攻撃に使用された不審なドメイン (help-lastpass[.]com) を公開直後に閉鎖しました。しかし、攻撃者は執拗に新しい IP アドレスで活動を続けています。

攻撃者の内部システムを可視化することで、リチャードソン氏は少なくとも 8 人の被害者を特定することができました。彼はまた、それ以上のことがあった可能性を示す証拠（ダーク・リーディングは機密扱いとしている）も提供した。

LastPassの上級インテリジェンスアナリストであるマイク・コサック氏は、さらなる情報を求められた際、Dark Readingに対し次のように語った。詐欺。 LastPass になりすましたフィッシング詐欺やその他の不正行為の可能性がある場合は、次のアドレスに報告することをお勧めします。 [メール保護]に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」

防御策はあるのか？

CryptoChameleon の実践的な攻撃者は、多要素認証 (MFA) などの潜在的なセキュリティ障壁を介して被害者に話しかけるため、攻撃者に対する防御は認識することから始まります。

「人々は、攻撃者が電話番号をなりすますことができることを認識する必要があります。800 や 888 の番号から電話がかかってきたからといって、それが正規のものであるとは限りません」とリチャードソン氏は言い、「電話の相手側にアメリカ人がいるからといって、それが正当なものであるとは限らない」と付け加えた。また、このラインはそれが合法であることを意味するものではありません。」

実際、彼はこう言っています。「知らない発信者からの電話には出ないでください。」それが今日私たちが住んでいる世界の悲しい現実であることは承知しています。」

ただし、ビジネス ユーザーや消費者に知られているすべての認識と予防措置を講じたとしても、特に高度なソーシャル エンジニアリング攻撃は依然として通過する可能性があります。

「私が話を聞いた CryptoChameleon の被害者の 1 人は、退職した IT プロフェッショナルでした」とリチャードソン氏は思い出します。 「彼はこう言いました。『私はこの種の攻撃に引っかからないように、生涯を通じて訓練を受けてきました。どういうわけか私はそれに夢中になりました。」

LastPass は Dark Reading に次のことをお客様に思い出させるよう依頼しました。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam