LastPass lietotāji operētājsistēmās Android un citās platformās ir pikšķerēšanas kampaņas mērķis, kurā viltoti klientu apkalpošanas zvani tiek apvienoti ar gudri izstrādātiem e-pastiem, kuros ir uzņēmuma zīmols, lai nozagtu viņu galvenās paroles. Šajā daudzslāņu uzbrukumā tiek izmantota sociālās inženierijas taktika, lai krāptu upurus, lai tie nodotu paroles glabātuves atslēgas, tādējādi potenciāli apdraudot visus viņu tiešsaistes kontus.
Pikšķerēšanas shēma, ko nesen atklāja LastPass, izmanto bēdīgi slaveno pikšķerēšanas komplektu, kas pazīstams kā CryptoChameleon. Šis komplekts ļauj kibernoziedzniekiem viegli izveidot viltotas pieteikšanās lapas, kas atdarina likumīgus pakalpojumus, piemēram, LastPass, lai maldinoši mēģinātu nozagt pieteikšanās akreditācijas datus.
No maldinošiem tālruņa zvaniem līdz viltus e-pastiem
Uzbrukums izvēršas virknē aprēķinātu darbību, kas paredzētas, lai radītu paniku un piespiestu upurus pieņemt nepārdomātus lēmumus. Sākotnējā darbība ietver tālruņa zvanu, domājams, no LastPass atbalsta. Zvanītājs informē cietušo, ka viņa kontam ir piekļūts no neatpazītas ierīces. Lai pastiprinātu steidzamības sajūtu, zvanītājs uzdod cietušajam nospiest noteiktu numuru uz tālruņa tastatūras. Tas ir paredzēts, lai atļautu vai bloķētu šķietamo nesankcionētu piekļuvi.
Varat izvēlēties bloķēt piekļuvi. Taču šarāde turpinās, zvanotājam solot atkārtotu zvanu no “klientu pārstāvja”, lai atrisinātu problēmu. Tomēr šis otrais zvans nāk no viltota numura, maskējot uzbrucēja patieso identitāti. Uzdodoties par likumīgu LastPass darbinieku, krāpnieks pēc tam nosūta šķietami oficiālu e-pasta ziņojumu ar saiti, lai “atiestatītu” jūsu kontu. Tālruņa zvanu radītā steidzamība kopā ar oficiālā izskata e-pastu var viegli piemānīt pat gudrus lietotājus, liekot tiem noticēt, ka viņu konts ir patiešām apdraudēts. Noklikšķinot uz saites e-pastā, upuris tiek novirzīts uz gudri izstrādātu pikšķerēšanas vietni — gandrīz ideālu kopiju ar LastPass zīmolu un pieteikšanās lapu. Nezinot par maldināšanu, upuris var ievadīt savu galveno paroli, mēģinot atgūt kontroli pār savu kontu.
Kad galvenā parole ir ievadīta viltotajā pieteikšanās lapā, uzbrucējs iegūst pilnu piekļuvi upura LastPass glabātuvei. Tas viņiem dod iespēju ne tikai nozagt visus saglabātos lietotājvārdus un paroles. Bet arī potenciāli mainīt svarīgu konta informāciju, piemēram, e-pasta adreses un tālruņu numurus. Izmantojot šo piekļuves līmeni, uzbrucēji var nolaupīt upura tiešsaistes kontus, radīt finansiālus postījumus un pat uzdoties par upuri, lai mērķētu uz viņu sociālajām aprindām.
LastPass nav vienīgais CryptoChameleon upuris
CryptoChameleon ir izmantots, lai mērķētu uz plašāku tiešsaistes pakalpojumu klāstu ārpus LastPass. Lookout drošības pētnieki atklāja, ka pikšķerēšanas kampaņas, izmantojot komplektu, uzdodas par tādām populārām platformām kā Binance un Coinbase. Nav saudzēti pat tādi sociālo mediju giganti kā X un Facebook. Tas norāda uz plašāku kibernoziedznieku kampaņu, kuras mērķis ir nozagt pieteikšanās akreditācijas datus dažādos tiešsaistes pakalpojumos.
LastPass, atklājot pikšķerēšanas kampaņu, kuras mērķauditorija ir tās lietotāji, ātri rīkojās, lai mazinātu kaitējumu. Uzņēmums ir noņēmis krāpniecisko vietni, ko uzbrucēji izmantoja, lai nozagtu akreditācijas datus. Turklāt LastPass aktīvi informē savu lietotāju bāzi par pikšķerēšanas shēmu, aicinot uzmanīties no aizdomīgiem zvaniem, īsziņām un e-pastiem, tostarp tiem, kuriem ir uzņēmuma oficiālais zīmols.
Pagātnes pārkāpumu ēna ir liela
Nesenā pikšķerēšanas kampaņa, kuras mērķauditorija ir LastPass lietotāji, notiek paroļu pārvaldības uzņēmumam īpaši jutīgā laikā. LastPass atzina, ka 2022. gadā saskārās ar datu drošības incidentu, kad hakeri ieguva piekļuvi daļai tās klientu datu. Protams, LastPass apgalvoja, ka galvenās paroles joprojām ir drošas. Tomēr šis iepriekšējais pārkāpums neapšaubāmi ir mazinājis lietotāju uzticību un pastiprinājis bažas par viņu paroļu drošību.
Lai saglabātu drošību, LastPass uzsver būtisku punktu. Likumīgi klientu atbalsta pārstāvji nekad neprasīs jūsu galveno paroli. Ja saņemat zvanu, īsziņu vai e-pasta ziņojumu, kurā tiek apgalvots, ka esat no LastPass, un tiek mudināts nekavējoties rīkoties, jo īpaši saistībā ar jūsu galveno paroli, tas ir sarkans karogs. Neklikšķiniet uz nevienas saites. Tāpat nekavējoties nolieciet klausuli un ziņojiet par aizdomīgo saziņu tieši LastPass vietnē (aizsargāts ar e-pastu).
Atcerieties, ka jūsu galvenā parole ir jūsu tiešsaistes drošības stūrakmens. Jums jāsaglabā modrība un jāpieņem veselīga skepticisma deva pret nevēlamu saziņu. Tādā veidā jūs varat ievērojami samazināt risku kļūt par šo viltīgo pikšķerēšanas mēģinājumu upuri.
