Một chiến dịch lừa đảo cực kỳ tinh vi đang diễn ra có thể đã khiến một số người dùng LastPass trao mật khẩu chính cực kỳ quan trọng của họ cho tin tặc.
Trình quản lý mật khẩu lưu trữ tất cả mật khẩu của người dùng — cho Instagram, công việc của họ và mọi thứ khác — ở một nơi, được bảo vệ bằng một mật khẩu “chính”. Chúng giúp người dùng không phải nhớ thông tin đăng nhập của hàng trăm tài khoản và cho phép họ sử dụng các mật khẩu phức tạp hơn, duy nhất cho mỗi tài khoản. Mặt khác, nếu một kẻ đe dọa giành được quyền truy cập vào mật khẩu chính, họ sẽ có chìa khóa của từng tài khoản bên trong.
đăng ký hạng mục thi CryptoChameleon, một công cụ lừa đảo thực tế mới của chủ nghĩa hiện thực vô song.
David Richardson, phó chủ tịch của thông tin tình báo về mối đe dọa tại Lookout, cơ quan đầu tiên xác định và báo cáo chiến dịch mới nhất cho LastPass. “Kho lưu trữ mật khẩu là một tiện ích mở rộng tự nhiên vì rõ ràng là bạn sẽ có thể kiếm tiền từ nó vào cuối ngày.”
Cho đến nay, CryptoChameleon đã thu hút được ít nhất tám khách hàng LastPass — nhưng có thể nhiều hơn — có khả năng làm lộ mật khẩu chính của họ.
Sơ lược về lịch sử của tiền điện tửChameleon
Lúc đầu, CryptoChameleon trông giống như bất kỳ công cụ lừa đảo nào khác.
Các nhà khai thác của nó đã hoạt động từ cuối năm ngoái. Vào tháng 1, họ bắt đầu nhắm mục tiêu vào các sàn giao dịch tiền điện tử Coinbase và Binance. Nhắm mục tiêu ban đầu này, cộng với bộ công cụ có khả năng tùy biến cao, đã mang lại tên gọi cho nó.
Tuy nhiên, tình hình đã thay đổi vào tháng 2, khi họ đăng ký miền fcc-okta[.]com, bắt chước trang Đăng nhập một lần (SSO) Okta thuộc Ủy ban Truyền thông Liên bang Hoa Kỳ (FCC). Richardson nhớ lại: “Điều đó đột nhiên làm cho điều này phát triển từ một trong nhiều bộ công cụ lừa đảo dành cho người tiêu dùng mà chúng tôi thấy ở ngoài đó, thành một thứ sẽ chuyển sang nhắm mục tiêu vào doanh nghiệp, theo đuổi thông tin xác thực của công ty”.
Richardson xác nhận với Dark Reading rằng các nhân viên của FCC đã bị ảnh hưởng, nhưng không thể nói có bao nhiêu hoặc liệu các cuộc tấn công có dẫn đến bất kỳ hậu quả nào cho cơ quan hay không. Ông lưu ý rằng đó là một cuộc tấn công tinh vi mà ông dự đoán sẽ xảy ra ngay cả với những nhân viên đã được đào tạo.
Vấn đề với CryptoChameleon không chỉ là nó đang nhắm tới ai mà còn là nó đã đánh bại họ tốt như thế nào. Bí quyết của nó là sự tận tâm, kiên nhẫn và tận tình với nạn nhân.
Hãy xem xét, ví dụ, chiến dịch hiện tại chống lại LastPass.
Ăn cắp mật khẩu chính LastPass
Nó bắt đầu khi khách hàng nhận được cuộc gọi từ số 888. Người gọi robot sẽ thông báo cho khách hàng rằng tài khoản của họ đã được truy cập từ một thiết bị mới. Sau đó, nó nhắc họ nhấn “1” để cho phép truy cập hoặc “2” để chặn nó. Sau khi nhấn “2”, họ được thông báo rằng họ sẽ sớm nhận được cuộc gọi từ đại diện dịch vụ khách hàng để “đóng phiếu”.
Sau đó, cuộc gọi đến. Người nhận không hề hay biết, đó là từ một số giả mạo. Ở đầu dây bên kia là một người sống, thường nói giọng Mỹ. Các nạn nhân khác của CryptoChameleon cũng đã báo cáo việc nói chuyện với các đặc vụ Anh.
Richardson nhớ lại sau nhiều cuộc trò chuyện với nạn nhân: “Người đại diện có kỹ năng giao tiếp chuyên nghiệp tại trung tâm cuộc gọi và đưa ra những lời khuyên thực sự hữu ích. “Vì vậy, chẳng hạn, họ có thể nói: 'Tôi muốn bạn ghi lại số điện thoại hỗ trợ này cho tôi.' Và họ yêu cầu nạn nhân viết ra số điện thoại hỗ trợ thực sự của người mà họ đang mạo danh. Và sau đó họ giảng cả một bài: 'Chỉ gọi cho chúng tôi theo số này.' Tôi đã nhận được báo cáo của một nạn nhân rằng họ thực sự đã nói: 'Vì mục đích đào tạo và chất lượng, cuộc gọi này đang được ghi âm.' Họ đang sử dụng toàn bộ kịch bản cuộc gọi, mọi thứ mà bạn có thể nghĩ ra để khiến ai đó tin rằng họ đang thực sự nói chuyện với công ty này ngay lúc này.”
Nhân viên hỗ trợ được cho là này sẽ thông báo cho người dùng rằng họ sẽ sớm gửi email, cho phép người dùng đặt lại quyền truy cập vào tài khoản của họ. Trên thực tế, đây là một email độc hại chứa URL rút gọn, hướng họ đến một trang lừa đảo.
Nhân viên hỗ trợ hữu ích sẽ theo dõi thời gian thực khi người dùng nhập mật khẩu chính của họ vào trang web bắt chước. Sau đó, họ sử dụng nó để đăng nhập vào tài khoản của mình và ngay lập tức thay đổi số điện thoại chính, địa chỉ email và mật khẩu chính, từ đó khóa nạn nhân vĩnh viễn.
Trong khi đó, Richardson nói: “Họ không nhận ra đó là một trò lừa đảo - tôi không nói chuyện với nạn nhân nào cả. Một người nói, 'Tôi không nghĩ mình đã từng nhập mật khẩu chính của mình vào đó.' [Tôi nói với họ] 'Bạn đã dành 23 phút nói chuyện điện thoại với những người này. Có lẽ bạn đã làm vậy.'”
Thiệt hại
LastPass đã tắt miền đáng ngờ được sử dụng trong cuộc tấn công — help-lastpass[.]com — ngay sau khi nó đi vào hoạt động. Tuy nhiên, những kẻ tấn công vẫn kiên trì tiếp tục hoạt động dưới một địa chỉ IP mới.
Với khả năng hiển thị nội bộ của những kẻ tấn công, Richardson có thể xác định được ít nhất tám nạn nhân. Anh ta cũng đưa ra bằng chứng (mà Dark Reading đang giữ bí mật) cho thấy rằng có thể còn nhiều hơn thế.
Khi được yêu cầu thêm thông tin, nhà phân tích tình báo cấp cao Mike Kosak của LastPass nói với Dark Reading, “Chúng tôi không tiết lộ chi tiết về số lượng khách hàng bị ảnh hưởng bởi loại chiến dịch này, nhưng chúng tôi hỗ trợ bất kỳ khách hàng nào có thể là nạn nhân của chiến dịch này và các chiến dịch khác. lừa đảo. Chúng tôi khuyến khích mọi người báo cáo các hành vi lừa đảo tiềm ẩn và hoạt động bất chính khác mạo danh LastPass cho chúng tôi tại [email được bảo vệ]".
Có biện pháp phòng vệ nào không?
Vì những kẻ tấn công CryptoChameleon thực tế sẽ nói với nạn nhân của chúng thông qua mọi rào cản bảo mật tiềm ẩn như xác thực đa yếu tố (MFA), nên việc bảo vệ chống lại chúng bắt đầu bằng nhận thức.
“Mọi người cần lưu ý rằng những kẻ tấn công có thể giả mạo số điện thoại - rằng chỉ vì số 800 hoặc 888 gọi cho bạn, điều đó không có nghĩa là số đó hợp pháp,” Richardson nói và nói thêm rằng “chỉ vì có một người Mỹ ở đầu bên kia của dòng này cũng không có nghĩa là nó hợp pháp.”
Trên thực tế, anh ấy nói: “Đừng trả lời điện thoại từ những người gọi không quen biết. Tôi biết đó là một thực tế đáng buồn của thế giới chúng ta đang sống ngày nay.”
Tuy nhiên, ngay cả với tất cả nhận thức và biện pháp phòng ngừa mà người dùng doanh nghiệp và người tiêu dùng đã biết, một cuộc tấn công kỹ thuật xã hội đặc biệt tinh vi vẫn có thể vượt qua được.
Richardson nhớ lại: “Một trong những nạn nhân của CryptoChameleon mà tôi đã nói chuyện là một chuyên gia CNTT đã nghỉ hưu. “Anh ấy nói, 'Tôi đã rèn luyện cả đời mình để không rơi vào những cuộc tấn công kiểu này. Bằng cách nào đó tôi đã yêu nó'.”
LastPass đã yêu cầu Dark Reading nhắc nhở khách hàng những điều sau:
-
Bỏ qua mọi cuộc gọi điện thoại đến không được yêu cầu hoặc không được nhắc nhở (tự động hoặc với một cá nhân trực tiếp) hoặc tin nhắn tự xưng là từ LastPass liên quan đến nỗ lực gần đây nhằm thay đổi mật khẩu và/hoặc thông tin tài khoản của bạn. Đây là một phần của chiến dịch lừa đảo đang diễn ra.
-
Nếu bạn thấy hoạt động này và lo ngại rằng mình có thể đã bị xâm phạm, hãy liên hệ với công ty theo địa chỉ [email được bảo vệ].
-
Và cuối cùng, LastPass sẽ không bao giờ hỏi mật khẩu của bạn.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam
