A highly sophisticated phishing campaign may have led some LastPass users to give up their all-important master passwords to hackers.
مدیران گذرواژه همه رمزهای عبور کاربر - برای اینستاگرام، شغل آنها و هر چیز دیگری - را در یک مکان ذخیره میکنند و با یک رمز عبور "مستر" محافظت میشوند. آنها بار کاربران را از به خاطر سپردن اعتبار صدها حساب باز می کنند و آنها را قادر می سازند تا از رمزهای عبور پیچیده تر و منحصر به فرد برای هر حساب استفاده کنند. از سوی دیگر، اگر یک عامل تهدید به رمز عبور اصلی دسترسی پیدا می کند، آنها کلید هر یک از حساب های موجود در آن را خواهند داشت.
وارد CryptoChameleon، یک کیت فیشینگ جدید و عملی واقع گرایی بی نظیر
دیوید ریچاردسون، معاون رئیسجمهور توضیح میدهد که حملات CryptoChameleon چندان گسترده نیستند، اما در کلیپی که عمدتاً در سراسر جهان جرایم سایبری دیده نمیشود، موفق هستند، «به همین دلیل است که ما معمولاً شاهد این هستیم که شرکتها و سایر اهداف بسیار با ارزش را هدف قرار میدهند. اطلاعات تهدید در Lookout، که برای اولین بار آخرین کمپین را شناسایی و به LastPass گزارش کرد. خزانه گذرواژه یک پسوند طبیعی است، زیرا بدیهی است که در پایان روز میتوانید از آن درآمد کسب کنید.
قبل از اینکه disrupted by the company, CryptoChameleon managed to ensnare at least eight of its customers — but likely more — potentially exposing their master passwords.
تاریخچه مختصری از CryptoChameleon
در ابتدا، CryptoChameleon شبیه هر کیت فیشینگ دیگری بود.
اپراتورهای آن از اواخر سال گذشته وجود داشتند. در ژانویه، آنها با هدف قرار دادن صرافی های ارزهای دیجیتال Coinbase و Binance شروع کردند. این هدف گذاری اولیه، به علاوه مجموعه ابزار بسیار قابل تنظیم آن، نام خود را برای آن به ارمغان آورد.
با تقلید از صفحه Okta Single Sign On (SSO) متعلق به کمیسیون ارتباطات فدرال ایالات متحده (FCC)، تصویر در فوریه تغییر کرد، اما زمانی که آنها دامنه fcc-okta[.]com را ثبت کردند. ریچاردسون به یاد میآورد: «این ناگهان باعث شد که از یکی از کیتهای فیشینگ مصرفکنندهای که در آنجا میبینیم، به چیزی تبدیل شود که شرکت را هدف قرار میدهد و اعتبار شرکت را دنبال میکند.
Richardson confirmed to Dark Reading that FCC employees were impacted, but could not say how many or whether the attacks led to any consequences for the agency.
مشکل CryptoChameleon فقط این نبود که چه کسی را هدف قرار داده بود، بلکه این بود که چگونه آنها را شکست داد. ترفند آن تعامل کامل، صبورانه و عملی با قربانیان بود.
Consider the recent campaign against LastPass, first identified and reported by Richardson earlier this month.
سرقت رمزهای عبور اصلی LastPass
زمانی شروع می شود که مشتری از یک شماره 888 تماسی دریافت کند. یک تماسگیرنده روبو به مشتری اطلاع میدهد که حسابش از یک دستگاه جدید دسترسی پیدا کرده است. سپس از آنها می خواهد که "1" را برای اجازه دسترسی یا "2" را برای مسدود کردن آن فشار دهند. پس از فشار دادن "2"، به آنها گفته می شود که به زودی از نماینده خدمات مشتری تماسی دریافت می کنند تا "بلیت را ببندند".
سپس تماس وارد می شود. بدون اینکه گیرنده بداند، از یک شماره جعلی است. در طرف دیگر خط یک فرد زنده است، معمولاً با لهجه آمریکایی. سایر قربانیان CryptoChameleon نیز گزارش داده اند که با ماموران بریتانیایی صحبت کرده اند.
ریچاردسون از مکالمات متعدد خود با قربانیان به یاد می آورد: «این نماینده مهارت های ارتباطی حرفه ای در مرکز تماس دارد و توصیه های واقعاً خوبی ارائه می دهد. "بنابراین، برای مثال، آنها ممکن است بگویند: "از شما می خواهم این شماره تلفن پشتیبانی را برای من یادداشت کنید." و از قربانیان میخواهند که شماره تلفن پشتیبانی واقعی را برای هر کسی که جعل میکنند بنویسند. و سپس آنها یک سخنرانی کامل به آنها می دهند: "فقط با این شماره با ما تماس بگیرید." من یک گزارش قربانی داشتم که آنها در واقع گفتند، "برای اهداف کیفی و آموزشی، این تماس در حال ضبط است." آنها از اسکریپت تماس کامل استفاده میکنند، هر چیزی که میتوانید به آن فکر کنید تا کسی باور کند که در حال حاضر واقعاً با این شرکت صحبت میکند.»
این عامل پشتیبانی فرضی به کاربر اطلاع می دهد که به زودی یک ایمیل ارسال می کند و به کاربر اجازه می دهد دسترسی به حساب خود را بازنشانی کند. در واقع، این یک ایمیل مخرب حاوی یک URL کوتاه شده است که آنها را به یک سایت فیشینگ هدایت می کند.
عامل پشتیبانی مفید در زمان واقعی مشاهده می کند که کاربر رمز عبور اصلی خود را در سایت کپی وارد می کند. سپس از آن برای ورود به حساب خود استفاده میکنند و بلافاصله شماره تلفن اصلی، آدرس ایمیل و رمز عبور اصلی را تغییر میدهند و در نتیجه قربانی را برای همیشه قفل میکنند.
All the while, Richardson says, “They didn’t realize it was a scam — none of the victims I talked to. One person said, ‘I don’t think I ever entered my master password in there.’ [I told them] ‘You spent 23 minutes on the phone with these guys. You probably did.'”
آسیب
After a tip from Richardson, LastPass began monitoring the suspicious domain help-lastpass[.]com. Once it became active and utilized in CryptoChameleon attacks, the company worked to get the site taken down.
During that brief window in between, however, a small number of customers were impacted.
با مشاهده سیستم های داخلی مهاجمان، ریچاردسون توانست حداقل هشت قربانی را شناسایی کند. او همچنین شواهدی را ارائه کرد (که دارک ریدینگ آنها را محرمانه نگه میدارد) که نشان میدهد ممکن است بیش از اینها وجود داشته باشد.
وقتی از مایک کوساک، تحلیلگر ارشد اطلاعاتی LastPass خواسته شد، به دارک ریدینگ گفت: «ما جزئیاتی در مورد تعداد مشتریانی که تحت تأثیر این نوع کمپین قرار میگیرند را فاش نمیکنیم، اما از هر مشتری که ممکن است قربانی این کمپین و موارد دیگر باشد، حمایت میکنیم. کلاهبرداری ما افراد را تشویق میکنیم تا کلاهبرداریهای احتمالی فیشینگ و سایر فعالیتهای شرورانه جعل هویت LastPass را به ما گزارش دهند. "
آیا دفاعی وجود دارد؟
از آنجایی که مهاجمان عملی CryptoChameleon با قربانیان خود از طریق هرگونه موانع امنیتی بالقوه مانند احراز هویت چند عاملی (MFA) صحبت می کنند، دفاع در برابر آنها با آگاهی آغاز می شود.
ریچاردسون میگوید: «مردم باید بدانند که مهاجمان میتوانند شمارههای تلفن را جعل کنند - فقط به این دلیل که یک شماره 800 یا 888 با شما تماس میگیرد، به این معنی نیست که مشروع است. این خط همچنین به معنای مشروع بودن آن نیست.»
در واقع او می گوید: «به تلفن تماس گیرندگان ناشناس پاسخ ندهید. من می دانم که این یک واقعیت غم انگیز در دنیایی است که امروز در آن زندگی می کنیم.
Even with all the awareness and security measures known to business users and consumers, though, a particularly sophisticated social engineering attack might still get through.
“One of the CryptoChameleon victims I talked to was a retired IT professional. He said, ‘I’ve gotten training my whole life to not fall for these kinds of attacks. Somehow I fell for it’.”
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam
- : دارد
- :است
- :نه
- $UP
- 1
- 23
- 7
- 800
- a
- قادر
- دسترسی
- قابل دسترسی است
- حساب
- حساب ها
- در میان
- فعال
- فعالیت
- واقعا
- اضافه کردن
- نشانی
- نصیحت
- پس از
- در برابر
- نمایندگی
- عامل
- عاملان
- معرفی
- اجازه دادن
- اجازه دادن
- همچنین
- امریکایی
- an
- روانکاو
- و
- پاسخ
- هر
- هستند
- دور و بر
- AS
- At
- حمله
- حمله
- تصدیق
- مطلع
- اطلاع
- موانع
- BE
- شد
- زیرا
- بوده
- آغاز شد
- آغاز می شود
- بودن
- باور
- متعلق به
- میان
- بنیان
- مسدود کردن
- انگلیسی
- کسب و کار
- اما
- by
- صدا
- مرکز تماس
- دعوت کننده
- تماس ها
- کمپین بین المللی حقوق بشر
- CAN
- مرکز
- تغییر دادن
- تغییر
- نزدیک
- coinbase
- می آید
- کمیسیون
- ارتباط
- ارتباطات
- شرکت
- بغرنج
- محرمانه
- تایید شده
- عواقب
- مصرف کننده
- مصرف کنندگان
- گفتگو
- شرکت
- میتوانست
- مجوزها و اعتبارات
- کریپتو کارنسی (رمز ارزها )
- صرافی های Cryptocurrency
- مشتری
- خدمات مشتری
- مشتریان
- سفارشی
- جرایم اینترنتی
- خسارت
- تاریک
- تاریک خواندن
- داود
- روز
- شکست
- دفاع از
- دفاع
- جزئیات
- دستگاه
- DID
- نشد
- هدایت
- افشای
- do
- میکند
- ندارد
- دامنه
- دان
- پایین
- هر
- پیش از آن
- به دست آورده
- هشت
- پست الکترونیک
- کارکنان
- قدرت دادن
- تشویق
- پایان
- نامزدی
- مهندسی
- وارد
- سرمایه گذاری
- شرکت
- وارد می شود
- تا کنون
- هر
- همه چیز
- مدرک
- مثال
- مبادلات
- توضیح می دهد
- گسترش
- واقعیت
- سقوط
- FCC
- فوریه
- فدرال
- کمیسیون فدرال ارتباطات
- نام خانوادگی
- برای
- از جانب
- کامل
- بیشتر
- واقعا
- دریافت کنید
- دادن
- رفتن
- خوب
- هکرها
- بود
- دست
- دست
- آیا
- داشتن
- he
- مفید
- خیلی
- خود را
- تاریخ
- چگونه
- اما
- HTTPS
- صدها نفر
- i
- شناسایی
- شناسایی
- if
- بلافاصله
- نهفته
- in
- نشان دادن
- اطلاعات
- اطلاع
- اول
- اینستگرام
- اطلاعات
- داخلی
- به
- IT
- ITS
- ژانویه
- کار
- JPG
- تنها
- نگهداری
- کلید
- انواع
- دانستن
- شناخته شده
- تا حد زیادی
- نام
- پارسال
- برنامه LastPass
- دیر
- آخرین
- کمترین
- قرائت
- رهبری
- قانونی
- زندگی
- پسندیدن
- احتمالا
- لاین
- زنده
- ll
- قفل
- ورود به سیستم
- نگاه
- از دست دادن
- ساخته
- ساخت
- مخرب
- اداره می شود
- مدیران
- بسیاری
- استاد
- ممکن است..
- me
- متوسط
- معیارهای
- MFA
- قدرت
- مخفف کلمه میکروفون
- دقیقه
- کسب درآمد
- نظارت بر
- ماه
- بیش
- احراز هویت چند عاملی
- my
- نام
- طبیعی
- نیاز
- جدید
- هیچ
- اکنون
- عدد
- تعداد
- of
- ارائه شده
- پیشنهادات
- اوکتا
- on
- یک بار
- ONE
- فقط
- اپراتور
- or
- سفارش
- دیگر
- خارج
- با ما
- ویژه
- کلمه عبور
- کلمه عبور
- بیمار
- مردم
- شخص
- فیشینگ
- کمپین فیشینگ
- کلاهبرداری فیشینگ
- تلفن
- تصویر
- محور
- محل
- افلاطون
- هوش داده افلاطون
- PlatoData
- به علاوه
- پتانسیل
- بالقوه
- رئيس جمهور
- فشار
- فشار
- اصلی
- شاید
- مشکل
- حرفه ای
- پرسیدن
- محفوظ
- اهداف
- کیفیت
- RE
- مطالعه
- واقعی
- زمان واقعی
- واقع گرایی
- واقعیت
- تحقق بخشیدن
- واقعا
- دریافت
- دریافت
- اخیر
- ثبت
- ثبت نام
- به یاد داشته باشید
- گزارش
- گزارش
- نماینده
- راست
- طلوع
- ROBO
- s
- سعید
- گفتن
- می گوید:
- کلاهبرداری
- کلاهبرداری
- خط
- تیم امنیت لاتاری
- اقدامات امنیتی
- دیدن
- در حال ارسال
- ارشد
- سرویس
- کوتاه
- به زودی
- امضاء
- پس از
- تنها
- سایت
- مهارت ها
- کوچک
- So
- آگاهی
- مهندسی اجتماعی
- برخی از
- به نحوی
- کسی
- چیزی
- مصنوعی
- صحبت کردن
- صرف
- سرقت
- هنوز
- opbevare
- موفق
- پشتیبانی
- مفروض
- مشکوک
- سیستم های
- صورت گرفته
- صحبت
- سخنگو
- هدف گذاری
- اهداف
- تمایل
- نسبت به
- که
- La
- خط
- جهان
- شان
- آنها
- سپس
- آنجا.
- در نتیجه
- اینها
- آنها
- فکر می کنم
- این
- کامل
- اگر چه؟
- تهدید
- از طریق
- بلیط
- زمان
- نوک
- به
- امروز
- گفته شده
- آموزش
- فوت و فن
- نوع
- به طور معمول
- منحصر به فرد
- ناشناخته
- بی نظیر
- URL
- us
- استفاده کنید
- کاربر
- کاربران
- با استفاده از
- استفاده
- طاق
- Ve
- بسیار
- معاون
- معاون رئیس جمهور
- قربانی
- قربانیان
- دید
- می خواهم
- بود
- نبود
- ساعت
- we
- خوب
- بود
- چه زمانی
- چه
- که
- در حین
- WHO
- هرکس
- تمام
- چرا
- بطور گسترده
- پنجره
- با
- در داخل
- مشغول به کار
- جهان
- نوشتن
- سال
- شما
- زفیرنت