Este posibil ca o campanie de phishing în curs de desfășurare, extrem de sofisticată, să fi determinat pe unii utilizatori LastPass să renunțe hackerilor la parolele lor principale foarte importante.

Managerii de parole stochează toate parolele unui utilizator – pentru Instagram, jobul lor și tot ce se află între ele – într-un singur loc, protejate de o singură parolă „master”. Ei scutesc utilizatorii de nevoia să-și amintească acreditările pentru sute de conturi și îi permit să utilizeze parole mai complicate și unice pentru fiecare cont. Pe de altă parte, dacă un actor de amenințare obține acces la parola principală, vor avea chei pentru fiecare dintre conturile din interior.

Intrați CryptoChameleon, un nou kit practic de phishing de un realism de neegalat. 

Atacurile CryptoChameleon tind să nu fie atât de răspândite, dar au succes într-un clip nevăzut în mare parte în lumea criminalității cibernetice, „de aceea vedem de obicei acest lucru vizând întreprinderi și alte ținte de foarte mare valoare”, explică David Richardson, vicepreședinte al departamentului. informații despre amenințări la Lookout, care a identificat prima dată și a raportat ultima campanie către LastPass. „Un seif de parole este o extensie naturală, pentru că, evident, vei putea monetiza asta la sfârșitul zilei.”

Până acum, CryptoChameleon a reușit să atragă cel puțin opt clienți LastPass – dar probabil mai mulți – expunându-și potențial parolele principale.

O scurtă istorie a CryptoChameleon

La început, CryptoChameleon arăta ca orice alt kit de phishing.

Operatorii săi existau de la sfârșitul anului trecut. În ianuarie, au început prin a viza schimburile de criptomonede Coinbase și Binance. Această direcționare inițială, plus setul de instrumente extrem de personalizabil, i-au adus numele.

Imaginea s-a schimbat însă în februarie, când au înregistrat domeniul fcc-okta[.]com, imitând pagina Okta Single Sign On (SSO) aparținând Comisiei Federale de Comunicații (FCC) din SUA. „Aceasta a făcut brusc această creștere de la unul dintre multele kituri de phishing pentru consumatori pe care le vedem acolo, la ceva care se va transforma în țintirea întreprinderii, urmărind acreditările corporative”, își amintește Richardson.

Richardson a confirmat pentru Dark Reading că angajații FCC au fost afectați, dar nu a putut spune câți sau dacă atacurile au dus la vreo consecință pentru agenție. A fost un atac sofisticat, notează el, că se așteaptă să fi lucrat chiar și pe angajați instruiți.

Problema cu CryptoChameleon nu a fost doar cine vizează, ci cât de bine i-a învins. Trucul său a fost o implicare amănunțită, răbdătoare și practică cu victimele.

Luați în considerare, de exemplu, campania actuală împotriva LastPass.

Furarea parolelor master LastPass

Începe atunci când un client primește un apel de la un număr 888. Un apelant robot informează clientul că contul său a fost accesat de pe un dispozitiv nou. Apoi le solicită să apese „1” pentru a permite accesul sau „2” pentru a-l bloca. După ce apăsă „2”, li se spune că vor primi un apel în scurt timp de la un reprezentant al serviciului pentru clienți pentru a „închide biletul”.

Apoi apelul vine. Fără să știe destinatarului, este de la un număr falsificat. La celălalt capăt al liniei se află o persoană vie, de obicei cu accent american. Alte victime CryptoChameleon au raportat, de asemenea, că au vorbit cu agenți britanici.

„Agentul are abilități profesionale de comunicare în call center și oferă sfaturi cu adevărat bune”, își amintește Richardson din numeroasele sale conversații cu victimele. „Deci, de exemplu, ei ar putea spune: „Vreau să notați acest număr de telefon de asistență pentru mine”. Și au victimele să noteze numărul real de telefon de asistență pentru oricine se usurează. Și apoi le țin o prelegere întreagă: „Sună-ne doar la acest număr”. Am avut un raport de victimă care spunea de fapt: „În scopuri de calitate și de formare, acest apel este în curs de înregistrare”. Ei folosesc scriptul complet al apelului, tot ce vă puteți gândi pentru a face pe cineva să creadă că vorbește cu adevărat cu această companie chiar acum.”

Acest presupus agent de asistență informează utilizatorul că va trimite un e-mail în curând, permițându-i utilizatorului să reseteze accesul la contul său. De fapt, acesta este un e-mail rău intenționat care conține o adresă URL scurtată, care îi direcționează către un site de phishing.

Agentul de asistență util urmărește în timp real când utilizatorul introduce parola principală pe site-ul copycat. Apoi îl folosesc pentru a se conecta la contul lor și schimbă imediat numărul de telefon principal, adresa de e-mail și parola principală, blocând astfel victima definitiv.

În tot acest timp, Richardson spune: „Nu își dau seama că este o înșelătorie – nici una dintre victimele cu care am vorbit. O persoană a spus: „Nu cred că am introdus vreodată parola mea principală acolo”. [Le-am spus] „Ați petrecut 23 de minute la telefon cu tipii ăștia. Probabil că ai făcut-o.”

Prejudiciul

LastPass a închis domeniul suspect utilizat în atac — help-lastpass[.]com — la scurt timp după ce a fost lansat. Atacatorii au fost totuși persistenti, continuându-și activitatea sub o nouă adresă IP.

Cu vizibilitate în sistemele interne ale atacatorilor, Richardson a reușit să identifice cel puțin opt victime. El a oferit, de asemenea, dovezi (pe care Dark Reading le păstrează confidențiale) care indică faptul că ar fi putut fi mai mult decât atât.

Când a fost solicitat mai multe informații, analistul senior de informații LastPass, Mike Kosak, a declarat pentru Dark Reading: „Nu dezvăluim detalii despre numărul de clienți care sunt afectați de acest tip de campanie, dar sprijinim orice client care ar putea fi victima acestei și a altora. escrocherii. Îi încurajăm pe oameni să raporteze potențialele escrocherii de tip phishing și alte activități nefaste care ne usurează identitatea LastPass la [e-mail protejat]. "

Există vreo apărare?

Deoarece atacatorii practici CryptoChameleon își vorbesc victimele prin orice potențiale bariere de securitate, cum ar fi autentificarea multifactorială (MFA), apărarea împotriva lor începe cu conștientizarea.

„Oamenii trebuie să fie conștienți de faptul că atacatorii pot falsifica numerele de telefon – că doar pentru că un număr 800 sau 888 te sună, nu înseamnă că este legitim”, spune Richardson, adăugând că „doar pentru că există un american la celălalt capăt al linia, de asemenea, nu înseamnă că este legitimă.”

De fapt, el spune: „Nu răspunde la telefon de la apelanți necunoscuți. Știu că aceasta este o realitate tristă a lumii în care trăim astăzi.”

Chiar și cu toate măsurile de conștientizare și de precauție cunoscute utilizatorilor de afaceri și consumatorilor, un atac de inginerie socială deosebit de sofisticat ar putea trece.

„Una dintre victimele CryptoChameleon cu care am vorbit a fost un profesionist IT pensionat”, își amintește Richardson. „El a spus: „M-am antrenat toată viața să nu cad în astfel de atacuri. Cumva m-am îndrăgostit de asta”.

LastPass le-a cerut lui Dark Reading să reamintească clienților următoarele:

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam