En pågående, svært sofistikert phishing-kampanje kan ha ført til at noen LastPass-brukere har gitt fra seg sine viktige hovedpassord til hackere.

Passordadministratorer lagrer alle brukerens passord – for Instagram, jobben deres og alt i mellom – på ett sted, beskyttet av ett "hovedpassord". De avlaster brukere fra å måtte huske legitimasjon for hundrevis av kontoer, og gir dem mulighet til å bruke mer kompliserte, unike passord for hver konto. På den annen side, hvis en trussel aktør får tilgang til hovedpassordet, vil de ha nøkler til hver enkelt av kontoene innenfor.

Enter CryptoChameleon, et nytt, praktisk phishing-sett av enestående realisme. 

CryptoChameleon-angrep har en tendens til ikke å være så utbredt, men de er vellykkede med et klipp stort sett usett over hele nettkriminalitetsverdenen, "det er derfor vi vanligvis ser at dette retter seg mot bedrifter og andre svært verdifulle mål," forklarer David Richardson, visepresident for trusseletterretning ved Lookout, som først identifiserte og rapporterte den siste kampanjen til LastPass. "Et passordhvelv er en naturlig utvidelse, fordi du åpenbart vil kunne tjene penger på det på slutten av dagen."

Så langt har CryptoChameleon klart å fange minst åtte LastPass-kunder - men sannsynligvis flere - som potensielt avslører hovedpassordene deres.

En kort historie om CryptoChameleon

Til å begynne med så CryptoChameleon ut som et hvilket som helst annet phishing-sett.

Operatørene hadde eksistert siden slutten av fjoråret. I januar begynte de med å sikte mot kryptovalutabørsene Coinbase og Binance. Denne første målrettingen, pluss det svært tilpassbare verktøysettet, fikk navnet sitt.

Bildet endret seg imidlertid i februar, da de registrerte domenet fcc-okta[.]com, og etterlignet Okta Single Sign On (SSO)-siden som tilhører USAs Federal Communications Commission (FCC). "Det gjorde plutselig denne økningen fra et av mange forbruker-phishing-sett som vi ser der ute, til noe som kommer til å dreie seg om å målrette bedriften, gå etter bedriftens legitimasjon," minnes Richardson.

Richardson bekreftet overfor Dark Reading at FCC-ansatte ble påvirket, men kunne ikke si hvor mange eller om angrepene førte til noen konsekvenser for byrået. Det var et sofistikert angrep, bemerker han, at han forventer å ha jobbet selv på trente ansatte.

Problemet med CryptoChameleon var ikke bare hvem det var rettet mot, men hvor godt det klarte å beseire dem. Trikset var grundig, tålmodig, praktisk engasjement med ofre.

Tenk for eksempel den nåværende kampanjen mot LastPass.

Å stjele LastPass-hovedpassord

Det begynner når en kunde mottar et anrop fra et 888-nummer. En robo-anringer informerer kunden om at kontoen deres har blitt åpnet fra en ny enhet. Den ber dem deretter om å trykke "1" for å gi tilgang, eller "2" for å blokkere den. Etter å ha trykket på «2» får de beskjed om at de snart vil motta et anrop fra en kundeservicerepresentant for å «lukke billetten».

Så kommer anropet. Ukjent for mottakeren er det fra et forfalsket nummer. I den andre enden av linjen er en levende person, typisk med en amerikansk aksent. Andre CryptoChameleon-ofre har også rapportert å snakke med britiske agenter.

"Agenten har profesjonelle kommunikasjonsevner for kundesenter, og gir genuint gode råd," husker Richardson fra sine mange samtaler med ofre. «Så, for eksempel, kan de si: 'Jeg vil at du skal skrive ned dette supporttelefonnummeret for meg.' Og de får ofre til å skrive ned det virkelige supporttelefonnummeret til den de utgir seg for. Og så holder de dem et helt foredrag: 'Bare ring oss på dette nummeret.' Jeg hadde en offerrapport om at de faktisk sa: 'For kvalitets- og opplæringsformål blir denne samtalen tatt opp.' De bruker hele samtaleskriptet, alt du kan tenke på for å få noen til å tro at de virkelig snakker med dette selskapet akkurat nå.»

Denne antatte støtteagenten informerer brukeren om at de kommer til å sende en e-post snart, slik at brukeren kan tilbakestille tilgangen til kontoen sin. Faktisk er dette en ondsinnet e-post som inneholder en forkortet URL, som leder dem til et phishing-nettsted.

Den hjelpsomme støtteagenten ser på i sanntid når brukeren skriver inn hovedpassordet sitt på copycat-siden. Deretter bruker de det til å logge på kontoen sin, og umiddelbart endre det primære telefonnummeret, e-postadressen og hovedpassordet, og dermed låse offeret ute for godt.

Hele tiden sier Richardson: "De skjønner ikke at det er en svindel - ingen av ofrene jeg snakket med. En person sa: 'Jeg tror aldri jeg har skrevet inn hovedpassordet mitt der.' [Jeg fortalte dem] 'Du brukte 23 minutter på telefonen med disse gutta. Det gjorde du sannsynligvis.'»

Skaden

LastPass stengte det mistenkelige domenet som ble brukt i angrepet – help-lastpass[.]com – kort tid etter at det ble publisert. Angriperne har imidlertid vært utholdende, og fortsetter sin aktivitet under en ny IP-adresse.

Med synlighet i angripernes interne systemer, var Richardson i stand til å identifisere minst åtte ofre. Han tilbød også bevis (som Dark Reading holder konfidensielt) som indikerer at det kan ha vært mer enn det.

På spørsmål om ytterligere informasjon, sa LastPass senior etterretningsanalytiker Mike Kosak til Dark Reading, "Vi avslører ikke detaljer om antall kunder som er påvirket av denne typen kampanjer, men vi støtter enhver kunde som kan være et offer for denne og andre svindel. Vi oppfordrer folk til å rapportere potensielle phishing-svindel og annen ufarlig aktivitet som utgir seg for å være LastPass til oss på [e-postbeskyttet]».

Finnes det noe forsvar?

Fordi praktiske CryptoChameleon-angripere snakker ofrene sine gjennom potensielle sikkerhetsbarrierer som multifaktorautentisering (MFA), begynner forsvar mot dem med bevissthet.

"Folk må være klar over at angripere kan forfalske telefonnumre - at bare fordi et 800- eller 888-nummer ringer deg, betyr det ikke at det er legitimt," sier Richardson og legger til at "bare fordi det er en amerikaner i den andre enden av linjen betyr heller ikke at den er legitim.»

Faktisk sier han: «Ikke svar på telefonen fra ukjente innringere. Jeg vet at det er en trist virkelighet i verden vi lever i i dag.»

Selv med all bevissthet og forholdsregler kjent for bedriftsbrukere og forbrukere, kan et spesielt sofistikert sosialt ingeniørangrep likevel komme gjennom.

"Et av CryptoChameleon-ofrene jeg snakket med var en pensjonert IT-profesjonell," husker Richardson. "Han sa: 'Jeg har trent hele livet mitt for å ikke falle for denne typen angrep. På en eller annen måte falt jeg for det."

LastPass har bedt Dark Reading om å minne kunder på følgende:

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam