En meget sofistikeret phishing-kampagne kan have fået nogle LastPass-brugere til at opgive deres altafgørende hovedadgangskoder til hackere.
Adgangskodeadministratorer gemmer alle en brugers adgangskoder - til Instagram, deres job og alt derimellem - på ét sted, beskyttet af én "master"-adgangskode. De aflaster brugerne fra at skulle huske legitimationsoplysninger for hundredvis af konti og giver dem mulighed for at bruge mere komplicerede, unikke adgangskoder til hver konto. På den anden side, hvis en trussel skuespiller får adgang til hovedadgangskoden, vil de have nøgler til hver enkelt af konti indeni.
Indtast CryptoChameleon, et nyt, praktisk phishing-kit af uovertruffen realisme.
CryptoChameleon-angreb har en tendens til ikke at være så udbredte, men de har succes med et klip, der stort set ikke er set over hele cyberkriminalitetsverdenen, "hvilket er grunden til, at vi typisk ser, at dette er rettet mod virksomheder og andre meget værdifulde mål," forklarer David Richardson, vicepræsident for trusselsefterretninger hos Lookout, som først identificerede og rapporterede den seneste kampagne til LastPass. "En adgangskodeboks er en naturlig udvidelse, fordi du åbenbart vil være i stand til at tjene penge på det i slutningen af dagen."
Før man er forstyrret af virksomheden, lykkedes det CryptoChameleon at fange mindst otte af sine kunder - men sandsynligvis flere - og potentielt afsløre deres hovedadgangskoder.
En kort historie om CryptoChameleon
Først lignede CryptoChameleon ethvert andet phishing-kit.
Dets operatører havde eksisteret siden slutningen af sidste år. I januar begyndte de med at målrette cryptocurrency-børserne Coinbase og Binance. Denne indledende målretning, plus dets meget tilpasselige værktøjssæt, gav den sit navn.
Billedet ændrede sig dog i februar, da de registrerede domænet fcc-okta[.]com, og efterlignede Okta Single Sign On (SSO) siden, der tilhører USA's Federal Communications Commission (FCC). "Det fik pludselig denne stigning fra et af mange forbruger-phishing-sæt, som vi ser derude, til noget, der kommer til at dreje sig om at målrette virksomheden og gå efter virksomhedens legitimationsoplysninger," husker Richardson.
Richardson bekræftede over for Dark Reading, at FCC-medarbejdere var påvirket, men kunne ikke sige, hvor mange eller om angrebene førte til nogen konsekvenser for agenturet.
Problemet med CryptoChameleon var ikke kun, hvem det var rettet mod, men hvor godt det var til at besejre dem. Dens trick var et grundigt, tålmodigt, praktisk engagement med ofrene.
Overvej den seneste kampagne mod LastPass, først identificeret og rapporteret af Richardson tidligere på måneden.
Stjæler LastPass-hovedadgangskoder
Det begynder, når en kunde modtager et opkald fra et 888-nummer. En robo-opkalder informerer kunden om, at deres konto er blevet tilgået fra en ny enhed. Det beder dem derefter om at trykke på "1" for at tillade adgang eller "2" for at blokere det. Efter at have trykket på "2", får de at vide, at de snart vil modtage et opkald fra en kundeservicemedarbejder for at "lukke billetten".
Så kommer opkaldet. Uden at modtageren ved det, er det fra et forfalsket nummer. I den anden ende af linjen er en levende person, typisk med en amerikansk accent. Andre CryptoChameleon-ofre har også rapporteret, at de har talt med britiske agenter.
"Agenten har professionelle callcenter-kommunikationsevner og tilbyder virkelig gode råd," husker Richardson fra sine mange samtaler med ofre. "Så, for eksempel, kan de sige: 'Jeg vil have, at du skriver dette supporttelefonnummer ned for mig.' Og de får ofre til at skrive det rigtige supporttelefonnummer ned for den, de udgiver sig for. Og så holder de dem et helt foredrag: 'Ring kun til os på dette nummer.' Jeg havde en offerrapport om, at de faktisk sagde: 'Af kvalitets- og træningsformål bliver dette opkald optaget.' De bruger hele opkaldsscriptet, alt hvad du kan komme i tanke om for at få nogen til at tro, at de virkelig taler med dette firma lige nu."
Denne formodede supportagent informerer brugeren om, at de snart vil sende en e-mail, så brugeren kan nulstille adgangen til deres konto. Faktisk er dette en ondsindet e-mail, der indeholder en forkortet URL, der leder dem til et phishing-websted.
Den hjælpsomme supportagent ser i realtid, når brugeren indtaster deres hovedadgangskode på copycat-webstedet. Så bruger de det til at logge ind på deres konto og ændrer straks det primære telefonnummer, e-mailadresse og hovedadgangskode og låser derved offeret ude for altid.
Alt imens siger Richardson: "De var ikke klar over, at det var en fidus - ingen af de ofre, jeg talte med. En person sagde: 'Jeg tror aldrig, jeg har indtastet mit hovedkodeord derinde.' [Jeg fortalte dem] 'Du brugte 23 minutter i telefonen med disse fyre. Det gjorde du nok.'”
Skaden
Efter et tip fra Richardson begyndte LastPass at overvåge det mistænkelige domæne help-lastpass[.]com. Da det først blev aktivt og brugt i CryptoChameleon-angreb, arbejdede virksomheden på at få siden fjernet.
I løbet af det korte mellemrum blev et lille antal kunder imidlertid berørt.
Med synlighed i angribernes interne systemer var Richardson i stand til at identificere mindst otte ofre. Han tilbød også beviser (som Dark Reading holder fortroligt), der indikerer, at der kan have været mere end det.
Da han blev bedt om yderligere information, fortalte LastPass senior efterretningsanalytiker Mike Kosak til Dark Reading: "Vi afslører ikke detaljer om antallet af kunder, der er påvirket af denne type kampagne, men vi støtter enhver kunde, der kan være ofre for denne og andre svindel. Vi opfordrer folk til at rapportere potentielt phishing-svindel og anden uhyggelig aktivitet, der efterligner LastPass til os på ".
Er der noget forsvar?
Fordi praktiske CryptoChameleon-angribere taler deres ofre gennem potentielle sikkerhedsbarrierer som multifaktorautentificering (MFA), begynder forsvar mod dem med opmærksomhed.
"Folk skal være opmærksomme på, at angribere kan forfalske telefonnumre - at bare fordi et 800- eller 888-nummer ringer til dig, betyder det ikke, at det er legitimt," siger Richardson og tilføjer, at "bare fordi der er en amerikaner i den anden ende af linjen betyder heller ikke, at den er legitim."
Faktisk siger han: "Tag ikke telefonen fra ukendte opkaldere. Jeg ved, at det er en trist virkelighed i den verden, vi lever i i dag."
Selv med al den opmærksomhed og sikkerhedsforanstaltninger, der er kendt af forretningsbrugere og forbrugere, kan et særligt sofistikeret social engineering-angreb dog stadig komme igennem.
"Et af de CryptoChameleon-ofre, jeg talte med, var en pensioneret it-professionel. Han sagde: 'Jeg har trænet hele mit liv for ikke at falde for den slags angreb. På en eller anden måde faldt jeg for det."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam
- :har
- :er
- :ikke
- $OP
- 1
- 23
- 7
- 800
- a
- I stand
- adgang
- af udleverede
- Konto
- Konti
- tværs
- aktiv
- aktivitet
- faktisk
- tilføje
- adresse
- rådgivning
- Efter
- mod
- agentur
- Agent
- midler
- Alle
- tillade
- tillade
- også
- amerikansk
- an
- analytiker
- ,
- besvare
- enhver
- ER
- omkring
- AS
- At
- angribe
- Angreb
- Godkendelse
- opmærksom på
- bevidsthed
- barrierer
- BE
- blev
- fordi
- været
- begyndte
- begynder
- være
- Tro
- tilhører
- mellem
- binance
- Bloker
- Britiske
- virksomhed
- men
- by
- ringe
- call center
- Caller
- Opkald
- Kampagne
- CAN
- center
- lave om
- ændret
- Luk
- coinbase
- kommer
- Kommissionen
- Kommunikation
- Kommunikation
- selskab
- kompliceret
- fortroligt
- BEKRÆFTET
- Konsekvenser
- forbruger
- Forbrugere
- samtaler
- Corporate
- kunne
- Legitimationsoplysninger
- cryptocurrency
- Cryptocurrency Udvekslinger
- kunde
- Kundeservice
- Kunder
- tilpasses
- cyberkriminalitet
- skader
- mørk
- Mørk læsning
- David
- dag
- besejre
- Forsvar
- Forsvar
- detaljer
- enhed
- DID
- gjorde ikke
- lede
- offentliggøre
- do
- gør
- gør ikke
- domæne
- Don
- ned
- hver
- tidligere
- optjent
- otte
- medarbejdere
- bemyndige
- tilskynde
- ende
- engagement
- Engineering
- indtastet
- Enterprise
- virksomheder
- Går ind i
- NOGENSINDE
- Hver
- at alt
- bevismateriale
- eksempel
- Udvekslinger
- Forklarer
- udvidelse
- Faktisk
- Fall
- FCC
- februar
- Federal
- Federal Communications Commission
- Fornavn
- Til
- fra
- fuld
- yderligere
- virkelig
- få
- Giv
- gå
- godt
- hackere
- havde
- hånd
- hands-on
- Have
- have
- he
- hjælpsom
- stærkt
- hans
- historie
- Hvordan
- Men
- HTTPS
- Hundreder
- i
- identificeret
- identificere
- if
- straks
- påvirket
- in
- angiver
- oplysninger
- oplyser
- initial
- Intelligens
- interne
- ind
- IT
- ITS
- januar
- Job
- jpg
- lige
- holde
- nøgler
- slags
- Kend
- kendt
- vid udstrækning
- Efternavn
- Sidste år
- LastPass
- Sent
- seneste
- mindst
- læsning
- Led
- legitim
- Livet
- ligesom
- Sandsynlig
- Line (linje)
- leve
- ll
- låsning
- log
- kiggede
- taber
- lavet
- lave
- ondsindet
- lykkedes
- Ledere
- mange
- Master
- Kan..
- me
- betyde
- foranstaltninger
- MFA
- måske
- mike
- minutter
- tjene penge
- overvågning
- Måned
- mere
- multifaktorgodkendelse
- my
- navn
- Natural
- Behov
- Ny
- Ingen
- nu
- nummer
- numre
- of
- tilbydes
- Tilbud
- Okta
- on
- engang
- ONE
- kun
- Operatører
- or
- ordrer
- Andet
- ud
- side
- især
- Adgangskode
- Nulstilling/ændring af adgangskoder
- patient
- Mennesker
- person,
- Phishing
- phishing-kampagne
- Phishing-svindel
- telefon
- billede
- Pivot
- Place
- plato
- Platon Data Intelligence
- PlatoData
- plus
- potentiale
- potentielt
- præsident
- trykke
- trykke
- primære
- sandsynligvis
- Problem
- professionel
- prompter
- beskyttet
- formål
- kvalitet
- RE
- Læsning
- ægte
- realtid
- realisme
- Reality
- indse
- virkelig
- modtager
- modtagende
- nylige
- registreres
- registreret
- huske
- indberette
- rapporteret
- repræsentativt
- højre
- Rise
- Robo
- s
- Said
- siger
- siger
- Fup
- svindel
- script
- sikkerhed
- Sikkerhedsforanstaltninger
- se
- afsendelse
- senior
- tjeneste
- forkortes
- Inden længe
- underskrive
- siden
- enkelt
- websted
- færdigheder
- lille
- So
- Social
- Samfundsteknologi
- nogle
- en eller anden måde
- Nogen
- noget
- sofistikeret
- taler
- brugt
- stjæle
- Stadig
- butik
- vellykket
- support
- formodes
- mistænksom
- Systemer
- taget
- Tal
- taler
- rettet mod
- mål
- tendens
- end
- at
- Linjen
- verdenen
- deres
- Them
- derefter
- Der.
- derved
- Disse
- de
- tror
- denne
- grundig
- selvom?
- trussel
- Gennem
- billet
- tid
- tip
- til
- i dag
- fortalt
- Kurser
- trick
- typen
- typisk
- enestående
- ukendt
- uden sidestykke
- URL
- us
- brug
- Bruger
- brugere
- ved brug af
- udnyttet
- Vault
- Ve
- meget
- vice
- Vice President
- Victim
- ofre
- synlighed
- ønsker
- var
- var ikke
- ure
- we
- GODT
- var
- hvornår
- hvorvidt
- som
- mens
- WHO
- hvem
- Hele
- hvorfor
- udbredt
- vindue
- med
- inden for
- arbejdede
- world
- skriver
- år
- Du
- zephyrnet