매우 정교한 피싱 캠페인으로 인해 일부 LastPass 사용자가 해커에게 가장 중요한 마스터 비밀번호를 제공하게 되었을 수 있습니다.
비밀번호 관리자는 Instagram, 직업 및 그 사이의 모든 것에 대한 사용자의 모든 비밀번호를 하나의 "마스터" 비밀번호로 보호되는 한 곳에 저장합니다. 사용자는 수백 개의 계정에 대한 자격 증명을 기억해야 하는 부담을 덜고 각 계정에 대해 더 복잡하고 고유한 비밀번호를 사용할 수 있습니다. 반면에 위협 행위자라면 마스터 비밀번호에 액세스할 수 있습니다., 그들은 내부의 모든 계정에 대한 키를 갖게 됩니다.
엔터 버튼 새로운 실습형 피싱 키트인 CryptoChameleon 비교할 수 없는 현실감.
CryptoChameleon 공격은 그다지 광범위하게 확산되지 않는 경향이 있지만 사이버 범죄 세계에서는 거의 볼 수 없는 순간에 성공합니다. "이것이 바로 이 공격이 일반적으로 기업 및 기타 매우 가치 있는 대상을 표적으로 삼는 이유입니다."라고 CryptoChameleon 부사장인 David Richardson은 설명합니다. 최신 캠페인을 최초로 식별하고 LastPass에 보고한 Lookout의 위협 인텔리전스입니다. "비밀번호 보관소는 결국에는 확실히 수익을 창출할 수 있기 때문에 자연스러운 확장입니다."
되기 전에 회사 때문에 방해받음, CryptoChameleon은 최소 8명의 고객을 함정에 빠뜨려 잠재적으로 마스터 비밀번호를 노출시켰습니다.
CryptoChameleon의 간략한 역사
처음에 CryptoChameleon은 다른 피싱 키트처럼 보였습니다.
운영자는 지난해 말부터 활동해왔다. 1월에는 암호화폐 거래소인 코인베이스(Coinbase)와 바이낸스(Binance)를 표적으로 삼았습니다. 이러한 초기 타겟팅과 고도로 사용자 정의 가능한 도구 세트로 인해 그 이름이 붙여졌습니다.
하지만 2월에 미국 연방통신위원회(FCC)에 속한 Okta SSO(Single Sign On) 페이지를 모방하여 fcc-okta[.]com 도메인을 등록하면서 상황이 바뀌었습니다. Richardson은 "이로 인해 우리가 흔히 볼 수 있는 많은 소비자 피싱 키트 중 하나가 갑자기 기업을 표적으로 삼고 기업 자격 증명을 노리는 것으로 변모하게 되었습니다"라고 회상합니다.
Richardson은 FCC 직원이 영향을 받았다고 Dark Reading에 확인했지만 공격이 기관에 얼마나 많은 영향을 미쳤는지 또는 공격으로 이어졌는지 여부는 말할 수 없습니다.
CryptoChameleon의 문제는 누구를 표적으로 삼았는가 뿐만 아니라 그들을 얼마나 잘 물리쳤는가였습니다. 그 비결은 철저하고 인내심을 갖고 피해자들과 직접 소통하는 것이었습니다.
이번 달 초 Richardson이 처음으로 확인하고 보고한 LastPass에 대한 최근 캠페인을 생각해 보십시오.
LastPass 마스터 비밀번호 도용
고객이 888 번호로부터 전화를 받으면 시작됩니다. 로봇 발신자는 고객에게 새 기기에서 계정에 액세스했음을 알립니다. 그런 다음 액세스를 허용하려면 "1"을 누르고, 차단하려면 "2"를 누르라는 메시지가 표시됩니다. "2"를 누르면 "티켓을 종료"하기 위해 고객 서비스 담당자로부터 곧 전화를 받을 것이라는 말을 듣게 됩니다.
그러다가 전화가 옵니다. 수신자도 모르게 스푸핑된 번호에서 온 전화입니다. 전화의 반대편에는 일반적으로 미국 억양을 사용하는 실제 사람이 있습니다. 다른 CryptoChameleon 피해자들도 영국 요원과 대화했다고 보고했습니다.
Richardson은 피해자들과의 많은 대화에서 이렇게 회상합니다. “상담원은 전문적인 콜센터 의사소통 기술을 갖추고 있으며 진정으로 좋은 조언을 제공합니다.” “예를 들어, '이 지원 전화번호를 적어 주시길 바랍니다.'라고 말할 수 있습니다. 그리고 피해자는 자신이 사칭하는 사람의 실제 지원 전화번호를 적어 두도록 합니다. 그리고는 그들에게 '이 번호로만 전화하세요'라고 강의를 합니다. 실제로 '품질 및 교육 목적으로 이 통화는 녹음되고 있습니다.'라고 말하는 피해자 신고가 있었습니다. 그들은 전체 통화 스크립트, 즉 누군가가 지금 이 회사와 실제로 대화하고 있다고 믿게 만들기 위해 생각할 수 있는 모든 것을 사용하고 있습니다.”
이 지원 담당자는 사용자에게 곧 이메일을 보내 계정에 대한 액세스를 재설정할 수 있음을 알립니다. 실제로 이는 단축 URL을 포함해 피싱 사이트로 연결되는 악성 이메일이다.
유용한 지원 담당자는 사용자가 모방 사이트에 마스터 비밀번호를 입력하는 모습을 실시간으로 지켜봅니다. 그런 다음 이를 사용하여 계정에 로그인하고 즉시 기본 전화번호, 이메일 주소, 마스터 비밀번호를 변경하여 피해자를 영원히 차단합니다.
그 동안 Richardson은 “그들은 그것이 사기라는 것을 깨닫지 못했습니다. 제가 이야기한 피해자 중 아무도 없었습니다. 한 사람은 '마스터 비밀번호를 거기에 입력한 적이 없는 것 같다'고 말했다. [나는 그들에게 말했다] '당신은 이 사람들과 23분 동안 통화를 했습니다. 아마 그랬을 거예요.'”
손상
Richardson의 제보 이후 LastPass는 의심스러운 도메인 help-lastpass[.]com을 모니터링하기 시작했습니다. 이 사이트가 활성화되어 CryptoChameleon 공격에 활용되자 회사는 사이트를 폐쇄하기 위해 노력했습니다.
그러나 그 사이의 짧은 기간 동안 소수의 고객이 영향을 받았습니다.
공격자의 내부 시스템에 대한 가시성을 통해 Richardson은 최소 8명의 피해자를 식별할 수 있었습니다. 그는 또한 그보다 더 많은 일이 있었을 수 있음을 나타내는 증거(Dark Reading이 기밀로 유지하는)를 제시했습니다.
추가 정보를 요청받았을 때 LastPass의 수석 정보 분석가 Mike Kosak은 Dark Reading과의 인터뷰에서 이렇게 말했습니다. “우리는 이러한 유형의 캠페인으로 영향을 받는 고객 수에 대한 세부 정보를 공개하지 않습니다. 사기. 우리는 사람들이 LastPass를 사칭하는 잠재적인 피싱 사기 및 기타 사악한 활동을 다음 주소로 신고할 것을 권장합니다. . "
방어가 있나요?
실제 CryptoChameleon 공격자는 다단계 인증(MFA)과 같은 잠재적인 보안 장벽을 통해 피해자에게 알리기 때문에 이에 대한 방어는 인식에서 시작됩니다.
"사람들은 공격자가 전화번호를 스푸핑할 수 있다는 점을 인식해야 합니다. 단지 800이나 888 번호로 전화를 걸었다고 해서 그것이 합법적이라는 의미는 아닙니다."라고 Richardson은 덧붙였습니다. "단지 전화 반대편에 미국인이 있다고 해서요. 이 라인은 또한 그것이 합법적이라는 것을 의미하지도 않습니다.”
실제로 그는 “알 수 없는 발신자의 전화는 받지 마세요. 나는 그것이 오늘날 우리가 살고 있는 세상의 슬픈 현실이라는 것을 알고 있습니다.”
그러나 비즈니스 사용자와 소비자에게 알려진 모든 인식 및 보안 조치에도 불구하고 특히 정교한 사회 공학 공격은 여전히 통과할 수 있습니다.
“제가 이야기한 크립토카멜레온 피해자 중 한 명은 은퇴한 IT 전문가였습니다. 그는 '나는 이런 공격에 빠지지 않기 위해 평생 훈련을 받아왔다'고 말했다. 왠지 나는 그것에 빠졌습니다.”
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam
- :있다
- :이다
- :아니
- $UP
- 1
- 23
- 7
- 800
- a
- 할 수 있는
- ACCESS
- 액세스
- 계정
- 계정
- 가로질러
- 활동적인
- 활동
- 실제로
- 첨가
- 주소
- 조언
- 후
- 반대
- 정부 기관
- 에이전트
- 자치령 대표
- All
- 수
- 허용
- 또한
- 미국 사람
- an
- 분석자
- 및
- 답변
- 어떤
- 있군요
- 약
- AS
- At
- 공격
- 공격
- 인증
- 인식
- 인식
- 장벽
- BE
- 되었다
- 때문에
- 된
- 시작
- 시작
- 존재
- 믿으세요
- 귀속
- 사이에
- 빈스
- 블록
- 영국의
- 사업
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 전화
- 콜센터
- 방문객
- 통화
- 운동
- CAN
- 센터
- 이전 단계로 돌아가기
- 변경
- 닫기
- coinbase
- 제공
- 위원회
- 의사 소통
- 커뮤니케이션
- 회사
- 복잡한
- 비밀
- 확인 됨
- 결과
- 소비자
- 소비자
- 대화
- Corporate
- 수
- 신임장
- 암호 화폐
- 암호 해독 성 교환
- 고객
- 고객 센터
- 고객
- 맞춤형
- 사이버 범죄
- 손해
- 어두운
- 어두운 독서
- 데이비드
- 일
- 격파
- 방어
- 방위산업
- 세부설명
- 장치
- DID
- didn
- 연출
- 드러내다
- do
- 하지
- 들린
- 도메인
- 돈
- 아래 (down)
- 마다
- 이전
- 적립
- 여덟
- 이메일
- 직원
- 능력을 키우다
- 격려
- end
- 약혼
- 엔지니어링
- 입력 된
- Enterprise
- 기업
- 들어갑니다
- EVER
- 모든
- 모두
- 증거
- 예
- 교환
- 설명
- 확장자
- 사실
- 떨어지다
- FCC
- Feb
- 연방
- 연방 통신위원회
- 먼저,
- 럭셔리
- 에
- 가득 찬
- 추가
- 진정으로
- 얻을
- 주기
- 가는
- 좋은
- 해커
- 했다
- 손
- 손 -에
- 있다
- 데
- he
- 도움이
- 고도로
- 그의
- history
- 방법
- 그러나
- HTTPS
- 수백
- i
- 확인
- 확인
- if
- 바로
- 영향
- in
- 표시
- 정보
- 정보 용
- 처음에는
- 인스타그램
- 인텔리전스
- 내부의
- 으로
- IT
- 그
- 일월
- 일
- JPG
- 다만
- 유지
- 키
- 가지
- 알아
- 알려진
- 크게
- 성
- 작년
- 제작 : LastPass
- 늦은
- 최근
- 가장 작은
- 강의
- 지도
- 합법적 인
- 생활
- 처럼
- 아마도
- 라인
- 살고있다
- ll
- 잠금
- 기록
- 보고
- 잃다
- 만든
- 확인
- 악의있는
- 관리
- 관리자
- .
- 석사
- XNUMX월..
- me
- 평균
- 조치들
- MFA
- 수도
- 마이크
- 회의록
- 수익을 창출하다
- 모니터링
- 달
- 배우기
- 다단계 인증
- my
- name
- 자연의
- 필요
- 신제품
- 없음
- 지금
- 번호
- 숫자
- of
- 제공
- 제공
- 옥타
- on
- 일단
- ONE
- 만
- 운영자
- or
- 주문
- 기타
- 아웃
- 페이지
- 특별히
- 비밀번호
- 암호
- 환자
- 사람들
- 사람
- 피싱
- 피싱 캠페인
- 피싱 사기
- 전화
- .
- 피벗
- 장소
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- ...을 더한
- 가능성
- 잠재적으로
- 대통령
- 키를 눌러
- 키를 눌러
- 일차
- 아마
- 문제
- 링크를
- 프롬프트
- 보호
- 목적
- 품질
- RE
- 읽기
- 현실
- 실시간
- 실재론
- 현실
- 실현
- 정말
- 수신
- 전수
- 최근
- 기록
- 등록된
- 기억
- 신고
- 보고
- 대리인
- 연락해주세요
- 상승
- 로보
- s
- 말했다
- 라고
- 라고
- 사기
- 사기
- 스크립트
- 보안
- 보안 조치
- 참조
- 전송
- 연장자
- 서비스
- 단축
- 곧
- 기호
- 이후
- 단일
- 대지
- 기술
- 작은
- So
- 사회적
- 사회 공학
- 일부
- 어쩐지
- 어떤 사람
- 무언가
- 정교한
- 말하기
- 지출
- 훔침
- 아직도
- 저장
- 성공한
- SUPPORT
- 가정
- 의심 많은
- 시스템은
- 촬영
- 이야기
- 말하는
- 대상
- 목표
- 경향
- 보다
- 그
- XNUMXD덴탈의
- 라인
- 세계
- 그들의
- 그들
- 그때
- 그곳에.
- 그것에 의하여
- Bowman의
- 그들
- 생각
- 이
- 철저한
- 그래도?
- 위협
- 을 통하여
- 표
- 시간
- 팁
- 에
- 오늘
- 이야기
- 트레이닝
- 비결
- 유형
- 일반적으로
- 유일한
- 알 수없는
- 견줄 나위없는
- URL
- us
- 사용
- 사용자
- 사용자
- 사용
- 사용
- 둥근 천장
- Ve
- 대단히
- 바이스
- 부통령
- 희생자
- 피해자
- 가시성
- 필요
- 였다
- 이었다
- 시계
- we
- 잘
- 했다
- 언제
- 여부
- 어느
- 동안
- 누구
- 누구나
- 모든
- why
- 펼친
- 창
- 과
- 이내
- 일
- 세계
- 쓰다
- year
- 자신의
- 제퍼 넷