Uma campanha de phishing contínua e altamente sofisticada pode ter levado alguns usuários do LastPass a entregar suas importantes senhas mestras aos hackers.
Os gerenciadores de senhas armazenam todas as senhas de um usuário – para o Instagram, seu trabalho e tudo mais – em um só lugar, protegidas por uma senha “mestre”. Eles aliviam os usuários da necessidade de lembrar credenciais de centenas de contas e os capacitam a usar senhas mais complicadas e exclusivas para cada conta. Por outro lado, se um agente de ameaça obtém acesso à senha mestra, eles terão chaves para cada uma das contas contidas.
Entrar CryptoChameleon, um novo kit prático de phishing de realismo incomparável.
Os ataques CryptoChameleon tendem a não ser tão difundidos, mas são bem-sucedidos em um ritmo praticamente nunca visto no mundo do crime cibernético, “é por isso que normalmente vemos isso visando empresas e outros alvos de alto valor”, explica David Richardson, vice-presidente de inteligência de ameaças na Lookout, que primeiro identificou e relatou a campanha mais recente ao LastPass. “Um cofre de senhas é uma extensão natural, porque obviamente você conseguirá monetizar isso no final do dia.”
Até agora, o CryptoChameleon conseguiu capturar pelo menos oito clientes do LastPass – mas provavelmente mais – expondo potencialmente suas senhas mestras.
Uma breve história do CryptoChameleon
No início, o CryptoChameleon parecia qualquer outro kit de phishing.
Seus operadores já existiam desde o final do ano passado. Em janeiro, eles começaram visando as exchanges de criptomoedas Coinbase e Binance. Essa segmentação inicial, além de seu conjunto de ferramentas altamente personalizável, lhe valeu esse nome.
O quadro mudou em fevereiro, quando registraram o domínio fcc-okta[.]com, imitando a página Okta Single Sign On (SSO) pertencente à Comissão Federal de Comunicações (FCC) dos EUA. “Isso de repente fez com que este passasse de um dos muitos kits de phishing de consumo que vemos por aí, para algo que vai se transformar em alvo da empresa, buscando credenciais corporativas”, lembra Richardson.
Richardson confirmou ao Dark Reading que os funcionários da FCC foram afetados, mas não soube dizer quantos ou se os ataques tiveram alguma consequência para a agência. Foi um ataque sofisticado, observa ele, que espera ter funcionado mesmo com funcionários treinados.
O problema com o CryptoChameleon não era apenas quem ele tinha como alvo, mas quão bem ele se saiu em derrotá-los. Seu truque era um envolvimento completo, paciente e prático com as vítimas.
Considere, por exemplo, a campanha atual contra o LastPass.
Roubando senhas mestras do LastPass
Começa quando um cliente recebe uma chamada de um número 888. Um chamador robótico informa ao cliente que sua conta foi acessada em um novo dispositivo. Em seguida, solicita que pressionem “1” para permitir o acesso ou “2” para bloqueá-lo. Depois de pressionar “2”, eles são informados de que em breve receberão uma ligação de um representante de atendimento ao cliente para “fechar o ticket”.
Então a chamada chega. Sem o conhecimento do destinatário, é de um número falsificado. Do outro lado da linha está uma pessoa viva, normalmente com sotaque americano. Outras vítimas do CryptoChameleon também relataram ter conversado com agentes britânicos.
“O agente tem habilidades profissionais de comunicação em call center e oferece conselhos genuinamente bons”, lembra Richardson de suas muitas conversas com as vítimas. “Então, por exemplo, eles podem dizer: 'Quero que você anote este número de telefone de suporte para mim.' E eles fazem as vítimas anotarem o número de telefone de suporte real de quem elas estão representando. E então eles dão uma palestra completa: 'Só ligue para este número.' Recebi um relato de uma vítima que disse: 'Para fins de qualidade e treinamento, esta ligação está sendo gravada'. Eles estão usando o script de chamada completo, tudo o que você pode imaginar para fazer alguém acreditar que está realmente falando com esta empresa agora.”
Esse suposto agente de suporte informa ao usuário que enviará um e-mail em breve, permitindo que o usuário redefina o acesso à sua conta. Na verdade, este é um e-mail malicioso contendo uma URL abreviada, direcionando-os para um site de phishing.
O prestativo agente de suporte observa em tempo real enquanto o usuário insere sua senha mestra no site copiado. Em seguida, eles o usam para fazer login em sua conta e alterar imediatamente o número de telefone principal, o endereço de e-mail e a senha mestra, bloqueando assim a vítima para sempre.
Enquanto isso, Richardson diz: “Eles não percebem que é uma fraude – nenhuma das vítimas com quem conversei. Uma pessoa disse: 'Acho que nunca digitei minha senha mestra lá.' [Eu disse a eles] 'Vocês passaram 23 minutos no telefone com esses caras. Você provavelmente fez isso.
O dano
O LastPass desligou o domínio suspeito usado no ataque – help-lastpass[.]com – logo após sua entrada no ar. Os atacantes têm sido persistentes, continuando a sua atividade sob um novo endereço IP.
Com visibilidade dos sistemas internos dos invasores, Richardson conseguiu identificar pelo menos oito vítimas. Ele também ofereceu evidências (que Dark Reading mantém confidenciais) indicando que pode ter havido mais do que isso.
Quando questionado sobre mais informações, o analista sênior de inteligência do LastPass, Mike Kosak, disse à Dark Reading: “Não divulgamos detalhes sobre o número de clientes que são impactados por este tipo de campanha, mas apoiamos qualquer cliente que possa ser vítima deste e de outros fraudes. Incentivamos as pessoas a denunciar possíveis golpes de phishing e outras atividades nefastas que se façam passar por nós do LastPass em [email protegido]. "
Existe alguma defesa?
Como os invasores práticos do CryptoChameleon ensinam suas vítimas a superar possíveis barreiras de segurança, como a autenticação multifator (MFA), a defesa contra eles começa com a conscientização.
“As pessoas precisam estar cientes de que os invasores podem falsificar números de telefone – que só porque um número 800 ou 888 liga para você, isso não significa que seja legítimo”, diz Richardson, acrescentando que “só porque há um americano do outro lado da linha a linha também não significa que seja legítima.”
Na verdade, ele diz: “Não atenda o telefone de pessoas desconhecidas. Eu sei que essa é uma triste realidade do mundo em que vivemos hoje.”
Mesmo com toda a conscientização e medidas de precaução conhecidas pelos usuários empresariais e consumidores, um ataque de engenharia social particularmente sofisticado ainda poderá passar.
“Uma das vítimas do CryptoChameleon com quem conversei era um profissional de TI aposentado”, lembra Richardson. “Ele disse: 'Treinei durante toda a minha vida para não cair nesse tipo de ataque. De alguma forma eu caí nessa'.”
O LastPass pediu ao Dark Reading para lembrar os clientes do seguinte:
-
Ignore quaisquer chamadas telefônicas não solicitadas ou não solicitadas (automatizadas ou com um indivíduo ao vivo) ou mensagens de texto que afirmem ser do LastPass relacionadas a uma tentativa recente de alterar sua senha e/ou informações da conta. Isso faz parte de uma campanha de phishing em andamento.
-
Se você vir esta atividade e estiver preocupado por ter sido comprometido, entre em contato com a empresa em [email protegido].
-
E, finalmente, o LastPass nunca pedirá sua senha.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam
