WebTech Rodos: [UPDATE 22/4/2024] Η LastPass αναφέρει ότι οι επιτιθέμενοι συνεχίζουν να προσπαθούν να εξαπατήσουν τους χρήστες του διαχειριστή κωδικών πρόσβασης.
Σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, η εταιρεία δήλωσε στο PCMag: “οι κακοί παράγοντες πίσω από το phishing του Crypto Chameleon συνεχίζουν την εκστρατεία τους με νέα διεύθυνση IP. Λαμβάνουμε μέτρα για να ενημερώσουμε τους πελάτες μας στα μέσα κοινωνικής δικτύωσης, προσθέσαμε banners στην κορυφή όλων των ιστοσελίδων μας και εργαζόμαστε σε μηνύματα/ειδοποιήσεις εντός του προϊόντος για να επισημάνουμε την προηγμένη απάτη phishing στους πελάτες μας”.
Η εταιρεία προσθέτει:
- “Αγνοήστε οποιαδήποτε μη ζητηθείσα εισερχόμενη τηλεφωνική κλήση (αυτοματοποιημένη ή με ζωντανό άτομο) ή μηνύματα που ισχυρίζονται ότι προέρχονται από την LastPass και σχετίζονται με μια πρόσφατη προσπάθεια αλλαγής του κωδικού πρόσβασης ή/και των πληροφοριών του λογαριασμού σας. Αυτά αποτελούν μέρος μιας συνεχιζόμενης εκστρατείας phishing”.
- “Αν δείτε αυτή τη δραστηριότητα και ανησυχείτε ότι μπορεί να έχετε εκτεθεί, παρακαλούμε επικοινωνήστε μαζί μας στο abuse@lastpass.com”
- “Όπως πάντα, δεν θα σας ζητήσουμε ΠΟΤΕ τον κωδικό πρόσβασής σας”.
[Αρχική δημοσίευση 18/4/2024] Οι χρήστες του LastPass πρέπει να είναι σε επιφυλακή για τηλεφωνικές κλήσεις που ισχυρίζονται ότι προέρχονται από την εταιρεία, καθώς είναι πιθανό να πρόκειται για εξελιγμένες επιθέσεις phishing που στοχεύουν τους χρήστες του δημοφιλούς διαχειριστή κωδικών πρόσβασης.
Η απάτη, την οποία η LastPass περιέγραψε λεπτομερώς σε μια ανάρτηση στο blog της, περιλαμβάνει απατεώνες που καλούν τα πιθανά θύματα προσποιούμενοι ότι είναι υπάλληλοι της LastPass.
Ο χρήστης θα λάβει μια τηλεφωνική κλήση από “έναν αριθμό 888 που ισχυρίζεται ότι ο λογαριασμός LastPass έχει πρόσβαση από μια νέα συσκευή και τον καθοδηγεί να πατήσει το ‘1’ για να επιτρέψει την πρόσβαση ή το ‘2’ για να την εμποδίσει”, αναφέρει η εταιρεία.
Το πάτημα του ‘2’, ωστόσο, ενεργοποιεί ένα μήνυμα που λέει ότι ένας εκπρόσωπος πελατών της LastPass θα καλέσει σύντομα. Στην πραγματικότητα, αυτός ο “εκπρόσωπος πελατών της LastPass” είναι απατεώνας.
Ο ψεύτικος αντιπρόσωπος, ο οποίος, σύμφωνα με πληροφορίες, μιλάει με αμερικανική προφορά, θα στείλει ένα μήνυμα ηλεκτρονικού ταχυδρομείου στον χρήστη που έχει σχεδιαστεί για να κλέψει τα στοιχεία σύνδεσής του. Το μήνυμα ηλεκτρονικού ταχυδρομείου είναι ντυμένο να μοιάζει με επίσημο μήνυμα της LastPass σχετικά με την προστασία ενός λογαριασμού και προέρχεται από ένα επίσημο domain που μοιάζει με το “help-lastpass[.]com”. Αλλά το email και το domain δεν έχουν καμία σχέση με την πραγματική LastPass.
(Credit: LastPass)
Οι χρήστες που την πατάνε από το μήνυμα θα τους ζητηθεί να κάνουν κλικ σε έναν σύνδεσμο, που τους ανακατευθύνει σε μια ψεύτικη σελίδα σύνδεσης σχεδιασμένη να κλέψει τον κύριο κωδικό πρόσβασης για το LastPass.
“Εάν ο παραλήπτης εισάγει τον κύριο κωδικό πρόσβασής του στην ιστοσελίδα phishing, ο δράστης της απειλής προσπαθεί να συνδεθεί στο λογαριασμό LastPass και να αλλάξει τις ρυθμίσεις εντός του λογαριασμού για να κλειδώσει τον αυθεντικό χρήστη και να πάρει τον έλεγχο του λογαριασμού”, πρόσθεσε η εταιρεία. “Αυτές οι αλλαγές μπορεί να περιλαμβάνουν την αλλαγή του κύριου αριθμού τηλεφώνου και της διεύθυνσης ηλεκτρονικού ταχυδρομείου, καθώς και του ίδιου του κύριου κωδικού πρόσβασης”.
Δεν είναι σαφές πώς οι απατεώνες γνωρίζουν τους αριθμούς τηλεφώνου των χρηστών της LastPass ή πόσα άτομα έχουν στοχοποιήσει. Όμως η εταιρεία δήλωσε: “Μπορούμε μόνο να υποθέσουμε ότι οι κακοποιοί αποκτούν τους αριθμούς τηλεφώνου των υποψήφιων στόχων από την πληθώρα παραβιάσεων δεδομένων που συμβαίνουν τακτικά. Τις περισσότερες φορές, οι πληροφορίες που λαμβάνονται από παραβιάσεις δεδομένων πωλούνται στο dark web”.
Η LastPass έχει ήδη συνεργαστεί με συνεργάτες για να κλείσει το domain help-lastpass[.]com. “Ωστόσο, καθώς το ίδιο το αρχικό phishing kit συνεχίζει να προσφέρει το branding της LastPass, μοιραζόμαστε αυτές τις πληροφορίες ώστε οι πελάτες μας να γνωρίζουν αυτές τις τακτικές και να λαμβάνουν την κατάλληλη απάντηση σε περίπτωση που λάβουν μια ύποπτη κλήση, ένα μήνυμα ή ένα email”, προστίθεται.
Το άλλο πρόβλημα είναι ότι πάνω από ένα χρόνο πριν, η ίδια η LastPass υπέστη παραβίαση, η οποία επέτρεψε σε έναν χάκερ να κλέψει κρυπτογραφημένα θησαυροφυλάκια κωδικών πρόσβασης από τους χρήστες. Έτσι, οι πελάτες που αντιμετώπισαν την επίθεση phishing μπορεί εύκολα να ξεγελαστούν και να νομίζουν ότι ο λογαριασμός τους απειλείται.
Για να αποφύγουν το φαινόμενο του phishing, η LastPass προτρέπει τους χρήστες να κλείσουν το τηλέφωνο αν λάβουν μια τηλεφωνική κλήση που ισχυρίζεται ότι προέρχεται από την εταιρεία και να είναι προσεκτικοί σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν το εμπορικό σήμα της LastPass. “Να θυμάστε ότι κανείς από την LastPass δεν θα ζητήσει ποτέ τον κύριο κωδικό πρόσβασής σας”, αναφέρει η LastPass.
Η εταιρεία προσθέτει ότι οι απατεώνες φαίνεται να χρησιμοποιούν το “CryptoChameleon phishing kit”, το οποίο μπορεί να δημιουργήσει όμοιες σελίδες σύνδεσης για μεγάλες υπηρεσίες διαδικτύου.
Η LastPass έμαθε για τις επιθέσεις phishing από τον πάροχο ασφάλειας Lookout. Στα τέλη Φεβρουαρίου, η Lookout δημοσίευσε τη δική της έρευνα, η οποία έδειξε ότι το CryptoChameleon δημιουργούσε ψεύτικες σελίδες σύνδεσης για ένα ευρύ φάσμα υπηρεσιών, συμπεριλαμβανομένων των LastPass, Okta, Gmail, Yahoo και Twitter, μαζί με ανταλλακτήρια κρυπτονομισμάτων όπως τα Coinbase και Binance, ακόμη και την FCC.
Η έρευνα της εταιρείας διαπίστωσε επίσης ότι το CryptoChameleon στόχευε συνήθως ανθρώπους στις κινητές συσκευές τους, με τη συντριπτική πλειοψηφία των θυμάτων να εδρεύει στις ΗΠΑ.
πηγή: pcmag.com