Пользователи менеджера паролей LastPass стали целью убедительной фишинговой кампании, в которой злоумышленники использовали комбинацию звонков, электронной почты и SMS для получения мастер-паролей от аккаунтов. Об атаке сообщилипредставители компании.
В ходе кампании использовался комплект для фишинга CryptoChameleon, специализирующийся на криптовалютных аккаунтах, который был обнаружен в феврале специалистами Lookout. Набор инструментов включает в себя качественно оформленные URL-адреса, поддельные страницы входа, а также инструменты для осуществления звонков и отправки сообщений.
- Клиент LastPass получает звонок с номера 888 с сообщением о доступе к аккаунту с нового устройства. Пользователю предлагается нажать на цифру “1”, чтобы разрешить доступ, или “2”, чтобы заблокировать его.
- После отказа в доступе абоненту сообщают, что скоро ему позвонит представитель службы поддержки для “закрытия заявки”. Затем от лица сотрудника LastPass жертве отправляется фишинговое письмо с сокращенной ссылкой на поддельный сайт.
- Если жертва вводит свой мастер-пароль на фишинговом сайте, мошенник пытается войти в учетную запись LastPass и изменить настройки, чтобы заблокировать доступ жертвы и получить контроль над учетной записью. Действия киберпреступника здесь могут включать изменение основного номера телефона и адреса электронной почты, а также самого мастер-пароля.
Фишинговое письмо
15 и 16 апреля активно велись атаки на клиентов LastPass, а поддельный сайт был закрыт 16 апреля.
Для защиты от подобных атак LastPass советует всегда сообщать в службу поддержки через официальные контакты после подозрительного звонка или сообщения, а также напоминает, что никому нельзя сообщать свой мастер-пароль.