Une campagne de phishing très sophistiquée a peut-être conduit certains utilisateurs de LastPass à céder leurs mots de passe principaux aux pirates.
Les gestionnaires de mots de passe stockent tous les mots de passe d'un utilisateur (pour Instagram, son travail et tout le reste) en un seul endroit, protégés par un mot de passe « principal ». Ils évitent aux utilisateurs d'avoir à mémoriser les informations d'identification de centaines de comptes et leur permettent d'utiliser des mots de passe plus complexes et uniques pour chaque compte. En revanche, si un acteur menaçant accède au mot de passe principal, ils auront les clés de chacun des comptes qu'ils contiennent.
Entrer CryptoChameleon, un nouveau kit de phishing pratique d'un réalisme inégalé.
Les attaques CryptoChameleon ont tendance à ne pas être aussi répandues, mais elles réussissent à un rythme largement inédit dans le monde de la cybercriminalité, « c'est pourquoi nous les voyons généralement cibler des entreprises et d'autres cibles de très grande valeur », explique David Richardson, vice-président de des renseignements sur les menaces chez Lookout, qui ont été les premiers à identifier et à signaler la dernière campagne à LastPass. "Un coffre-fort de mots de passe est une extension naturelle, car vous pourrez évidemment le monétiser en fin de compte."
Avant d'être perturbé par l'entreprise, CryptoChameleon a réussi à piéger au moins huit de ses clients – mais probablement plus – en exposant potentiellement leurs mots de passe principaux.
Une brève histoire de CryptoCameleon
Au début, CryptoChameleon ressemblait à n’importe quel autre kit de phishing.
Ses opérateurs existaient depuis la fin de l’année dernière. En janvier, ils ont commencé par cibler les bourses de crypto-monnaie Coinbase et Binance. Ce ciblage initial, ainsi que son ensemble d'outils hautement personnalisables, lui ont valu son nom.
La situation a cependant changé en février, lorsqu'ils ont enregistré le domaine fcc-okta[.]com, imitant la page Okta Single Sign On (SSO) appartenant à la Federal Communications Commission (FCC) des États-Unis. "Cela a soudainement fait passer ce phénomène d'un des nombreux kits de phishing grand public que nous voyons à quelque chose qui va se concentrer sur le ciblage de l'entreprise, en s'attaquant aux informations d'identification de l'entreprise", se souvient Richardson.
Richardson a confirmé à Dark Reading que les employés de la FCC ont été touchés, mais n'a pas pu dire combien ni si les attaques ont entraîné des conséquences pour l'agence.
Le problème avec CryptoChameleon n’était pas seulement qui il ciblait, mais aussi sa capacité à les vaincre. Son astuce consistait en un engagement minutieux, patient et concret auprès des victimes.
Considérez la récente campagne contre LastPass, identifiée et rapportée pour la première fois par Richardson au début du mois.
Voler les mots de passe principaux LastPass
Cela commence lorsqu'un client reçoit un appel d'un numéro 888. Un appelant robot informe le client que son compte a été accédé à partir d'un nouvel appareil. Il leur demande ensuite d'appuyer sur « 1 » pour autoriser l'accès, ou sur « 2 » pour le bloquer. Après avoir appuyé sur le « 2 », on leur dit qu'ils recevront sous peu un appel d'un représentant du service client afin de « clôturer le ticket ».
Ensuite, l’appel arrive. À l’insu du destinataire, il provient d’un numéro usurpé. À l’autre bout du fil se trouve une personne vivante, généralement avec un accent américain. D'autres victimes de CryptoChameleon ont également déclaré avoir parlé avec des agents britanniques.
"L'agent possède des compétences professionnelles en communication avec les centres d'appels et offre de véritables bons conseils", se souvient Richardson de ses nombreuses conversations avec les victimes. « Ainsi, par exemple, ils pourraient dire : 'Je veux que vous écriviez ce numéro de téléphone d'assistance pour moi.' Et ils demandent aux victimes d'écrire le véritable numéro de téléphone d'assistance de la personne dont elles se font passer pour. Et puis ils leur font toute une conférence : « Appelez-nous seulement à ce numéro ». J'ai reçu un rapport de victime selon lequel ils disaient : « Pour des raisons de qualité et de formation, cet appel est enregistré. » Ils utilisent le script d'appel complet, tout ce à quoi vous pouvez penser pour faire croire à quelqu'un qu'il parle réellement à cette entreprise en ce moment.
Ce supposé agent d'assistance informe l'utilisateur qu'il enverra prochainement un e-mail, lui permettant de réinitialiser l'accès à son compte. En fait, il s’agit d’un email malveillant contenant une URL raccourcie, les dirigeant vers un site de phishing.
L'agent d'assistance utile surveille en temps réel pendant que l'utilisateur saisit son mot de passe principal sur le site de copie. Ils l'utilisent ensuite pour se connecter à leur compte et modifient immédiatement le numéro de téléphone principal, l'adresse e-mail et le mot de passe principal, bloquant ainsi définitivement l'accès de la victime.
Pendant tout ce temps, Richardson déclare : « Ils n'ont pas réalisé qu'il s'agissait d'une arnaque – aucune des victimes à qui j'ai parlé. Une personne a déclaré : « Je ne pense pas avoir jamais saisi mon mot de passe principal ici. » [Je leur ai dit] 'Vous avez passé 23 minutes au téléphone avec ces gars-là.' Vous l’avez probablement fait.
Les dommages
Après un conseil de Richardson, LastPass a commencé à surveiller le domaine suspect help-lastpass[.]com. Une fois qu'il est devenu actif et utilisé dans les attaques CryptoChameleon, la société a travaillé pour faire fermer le site.
Toutefois, au cours de cette brève période intermédiaire, un petit nombre de clients ont été touchés.
Grâce à la visibilité sur les systèmes internes des attaquants, Richardson a pu identifier au moins huit victimes. Il a également présenté des preuves (que Dark Reading garde confidentielles) indiquant qu'il pourrait y avoir eu plus que cela.
Lorsqu'on lui a demandé de plus amples informations, Mike Kosak, analyste principal du renseignement chez LastPass, a déclaré à Dark Reading : « Nous ne divulguons pas de détails sur le nombre de clients touchés par ce type de campagne, mais nous soutenons tout client qui pourrait en être victime et d'autres. escroqueries. Nous encourageons les gens à nous signaler les escroqueries potentielles par phishing et autres activités néfastes se faisant passer pour LastPass à l'adresse . »
Y a-t-il une défense ?
Étant donné que les attaquants pratiques de CryptoChameleon parlent à leurs victimes de toute barrière de sécurité potentielle telle que l'authentification multifacteur (MFA), la défense contre eux commence par une prise de conscience.
« Les gens doivent être conscients que les attaquants peuvent usurper des numéros de téléphone : ce n'est pas parce qu'un numéro 800 ou 888 vous appelle qu'il est légitime », explique Richardson, ajoutant que « ce n'est pas parce qu'il y a un Américain à l'autre bout du fil » la ligne ne signifie pas non plus qu'elle est légitime.
En fait, dit-il : « Ne répondez pas au téléphone d'appelants inconnus. Je sais que c'est une triste réalité du monde dans lequel nous vivons aujourd'hui.
Même avec toutes les mesures de sensibilisation et de sécurité connues des utilisateurs professionnels et des consommateurs, une attaque d’ingénierie sociale particulièrement sophistiquée peut quand même réussir.
« L’une des victimes de CryptoChameleon à qui j’ai parlé était un professionnel de l’informatique à la retraite. Il a déclaré : « Je me suis entraîné toute ma vie pour ne pas tomber dans le piège de ce genre d'attaques. D'une manière ou d'une autre, je suis tombé dans le piège.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam
- :possède
- :est
- :ne pas
- $UP
- 1
- 23
- 7
- 800
- a
- Capable
- accès
- accédé
- Compte
- hybrides
- à travers
- infection
- activité
- actually
- ajoutant
- propos
- conseils
- Après
- à opposer à
- agence
- Agent
- agents
- Tous
- permettre
- Permettre
- aussi
- Américaine
- an
- analyste
- ainsi que le
- répondre
- tous
- SONT
- autour
- AS
- At
- attaquer
- Attaques
- Authentification
- conscients
- obstacles
- BE
- est devenu
- car
- était
- a commencé
- commence
- va
- CROYONS
- qui appartiennent
- jusqu'à XNUMX fois
- binance
- Block
- Britannique
- la performance des entreprises
- mais
- by
- Appelez-nous
- centres d'appel
- demandeur
- Appels
- Campagne
- CAN
- Canaux centraux
- Change
- modifié
- Fermer
- coinbase
- vient
- commission
- Communication
- Communications
- Société
- compliqué
- confidentielles
- CONFIRMÉ
- Conséquences
- consommateur
- Les consommateurs
- conversations
- Entreprises
- pourriez
- Lettres de créance
- crypto-monnaie
- Échanges de Crypto-monnaie
- des clients
- Service à la clientèle
- Clients
- personnalisables
- la cybercriminalité
- des dommages
- Foncé
- Lecture sombre
- David
- journée
- défaite
- Défendre
- Défense
- détails
- dispositif
- DID
- didn
- direction
- Divulguer
- do
- doesn
- domaine
- Don
- down
- chacun
- Plus tôt
- Notre expertise
- huit
- employés
- vous accompagner
- encourager
- fin
- participation
- ENGINEERING
- entré
- Entreprise
- entreprises
- Entre dans
- JAMAIS
- Chaque
- peut
- preuve
- exemple
- Échanges
- Explique
- extension
- fait
- Automne
- FCC
- Février
- National
- Federal Communications Commission
- Prénom
- Pour
- De
- plein
- plus
- vraiment
- obtenez
- Donner
- aller
- Bien
- les pirates
- ait eu
- main
- hands-on
- Vous avez
- ayant
- he
- utile
- très
- sa
- Histoire
- Comment
- Cependant
- HTTPS
- Des centaines
- i
- identifié
- identifier
- if
- immédiatement
- impact
- in
- indiquant
- d'information
- informe
- initiale
- Intelligence
- interne
- développement
- IT
- SES
- Janvier
- Emploi
- jpg
- juste
- en gardant
- clés
- types
- Savoir
- connu
- principalement
- Nom de famille
- L'année dernière
- LastPass
- En retard
- Nouveautés
- au
- Cours magistral
- LED
- légitime
- VIE
- comme
- Probable
- Gamme
- le travail
- ll
- verrouillage
- enregistrer
- regardé
- perdre
- LES PLANTES
- a prendre une
- malveillant
- gérés
- Gestionnaires
- de nombreuses
- maître
- Mai..
- me
- signifier
- les mesures
- MFA
- pourrait
- micro
- Minutes
- monétiser
- Stack monitoring
- Mois
- PLUS
- authentification multifactorielle
- my
- prénom
- Nature
- Besoin
- Nouveauté
- Aucun
- maintenant
- nombre
- numéros
- of
- présenté
- Offres Speciales
- OKTA
- on
- une fois
- ONE
- uniquement
- opérateurs
- or
- de commander
- Autre
- ande
- page
- particulièrement
- Mot de Passe
- mots de passe
- patientforward
- Personnes
- personne
- phishing
- campagne de phishing
- Les escroqueries par phishing
- Téléphone
- image
- Pivoter
- Place
- Platon
- Intelligence des données Platon
- PlatonDonnées
- plus
- défaillances
- l'éventualité
- président
- Press
- pressant
- primaire
- Probablement
- Problème
- professionels
- instructions
- protégé
- des fins
- qualité
- RE
- en cours
- réal
- en temps réel
- le réalisme
- Réalité
- réaliser
- vraiment
- reçoit
- recevoir
- récent
- enregistré
- inscrit
- rappeler
- rapport
- Signalé
- représentant
- bon
- Augmenter
- robo
- s
- Saïd
- dire
- dit
- Arnaque
- les escroqueries
- scénario
- sécurité
- Mesures de sécurité
- sur le lien
- envoi
- supérieur
- service
- raccourcie
- Peu de temps
- signer
- depuis
- unique
- site
- compétences
- petit
- So
- Réseaux sociaux
- Ingénierie sociale
- quelques
- en quelque sorte
- Quelqu'un
- quelque chose
- sophistiqué
- parlant
- dépensé
- vol
- Encore
- Boutique
- réussi
- Support
- supposé
- soupçonneux
- Système
- tâches
- discutons-en
- parlant
- ciblage
- objectifs
- Avoir tendance
- que
- qui
- Les
- La ligne
- le monde
- leur
- Les
- puis
- Là.
- ainsi
- Ces
- l'ont
- penser
- this
- approfondi
- bien que?
- menace
- Avec
- billet
- fiable
- pointe
- à
- aujourd'hui
- dit
- Formation
- astuce
- type
- typiquement
- expérience unique et authentique
- inconnu
- sans précédent
- URL
- us
- utilisé
- Utilisateur
- utilisateurs
- en utilisant
- utilisé
- Voûte
- Ve
- très
- vice
- Vice-président
- Victime
- victimes
- définition
- souhaitez
- était
- était
- montres
- we
- WELL
- ont été
- quand
- que
- qui
- tout en
- WHO
- quiconque
- la totalité
- why
- répandu
- fenêtre
- comprenant
- dans les
- travaillé
- world
- écrire
- an
- Vous n'avez
- zéphyrnet