高度复杂的网络钓鱼活动可能导致一些 LastPass 用户向黑客泄露了他们最重要的主密码。
密码管理器将用户的所有密码(Instagram、工作密码以及其他所有密码)存储在一个位置,并由一个“主”密码保护。它们使用户不必记住数百个帐户的凭据,并使他们能够为每个帐户使用更复杂、更独特的密码。另一方面,如果威胁行为者 获得主密码的访问权限,他们将拥有其中每个帐户的密钥。
输入 CryptoChameleon,一个新的实用网络钓鱼工具包 无与伦比的现实主义。
CryptoChameleon 攻击往往不会如此广泛,但它们的成功程度在整个网络犯罪世界中基本上是前所未见的,“这就是为什么我们通常会看到这种攻击针对企业和其他非常高价值的目标,”副总裁 David Richardson 解释道。 Lookout 的威胁情报最先识别并向 LastPass 报告了最新的活动。 “密码库是一个自然的扩展,因为你显然能够在一天结束时将其货币化。”
在成为之前 被公司扰乱,CryptoChameleon 成功诱骗了至少八名客户(但可能更多),可能会暴露他们的主密码。
加密变色龙简史
起初,CryptoChameleon 看起来就像任何其他网络钓鱼工具包一样。
它的运营商自去年年底就已经存在。一月份,他们开始瞄准加密货币交易所 Coinbase 和 Binance。这种最初的定位,加上其高度可定制的工具集,为其赢得了名称。
不过,情况在二月份发生了变化,当时他们注册了域名 fcc-okta[.]com,模仿了属于美国联邦通信委员会 (FCC) 的 Okta 单点登录 (SSO) 页面。 “这突然使我们看到的众多消费者网络钓鱼工具包之一,变成了以企业为目标、追求企业凭证的工具,”理查森回忆道。
理查森向 Dark Reading 证实,FCC 员工受到了影响,但无法透露有多少次攻击或这些攻击是否给该机构带来了任何后果。
CryptoChameleon 的问题不仅在于它的目标是谁,还在于它击败目标的能力如何。它的诀窍是与受害者进行彻底、耐心、实际的接触。
考虑一下最近针对 LastPass 的攻击活动,该活动由理查森本月早些时候首次发现并报告。
窃取 LastPass 主密码
当客户接到 888 号码的电话时,一切就开始了。机器人呼叫者通知客户他们的帐户已从新设备访问。然后,它会提示他们按“1”以允许访问,或按“2”以阻止访问。按“2”后,他们被告知他们很快就会接到客户服务代表的电话,以便“关闭票证”。
然后电话打进来。接听者并不知道,这是一个欺骗性的号码。线路的另一端是一个活人,通常带有美国口音。其他加密变色龙受害者也报告称与英国特工进行了交谈。
“该代理拥有专业的呼叫中心沟通技巧,并提供真正好的建议,”理查森在与受害者的多次交谈中回忆道。 “例如,他们可能会说:‘我希望你帮我记下这个支持电话号码。’”他们让受害者写下他们所冒充的人的真实支持电话号码。然后他们给他们上了一整堂课:“只用这个号码给我们打电话。”我收到一份受害者报告,他们实际上说,“出于质量和培训目的,这次通话正在录音。”他们正在使用完整的通话脚本,你能想到的一切都可以让人们相信他们现在真的在与这家公司交谈。”
这个假定的支持代理通知用户他们将很快发送一封电子邮件,允许用户重置对其帐户的访问权限。事实上,这是一封包含缩短 URL 的恶意电子邮件,将他们引导至网络钓鱼网站。
当用户在山寨网站中输入主密码时,乐于助人的支持代理会实时监视。然后他们用它登录自己的帐户,并立即更改主要电话号码、电子邮件地址和主密码,从而将受害者永久锁定。
理查森说,“他们一直没有意识到这是一个骗局——我采访过的受害者都没有意识到。一个人说,“我想我从来没有在那里输入过我的主密码。” [我告诉他们]‘你花了 23 分钟和这些人通电话。你可能做到了。”
伤害
在理查森举报后,LastPass 开始监控可疑域 help-lastpass[.]com。一旦它变得活跃并被用于 CryptoChameleon 攻击,该公司就努力将该网站拿下。
然而,在这短暂的时间内,少数客户受到了影响。
通过了解攻击者的内部系统,理查森能够识别出至少八名受害者。他还提供了证据(Dark Reading 对此保密),表明可能不止于此。
当被要求提供更多信息时,LastPass 高级情报分析师 Mike Kosak 告诉 Dark Reading,“我们不会透露受此类活动影响的客户数量的详细信息,但我们支持任何可能成为此类活动和其他活动受害者的客户。诈骗。我们鼓励人们向我们报告潜在的网络钓鱼诈骗和其他冒充 LastPass 的邪恶活动: 设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
有防御吗?
由于 CryptoChameleon 攻击者会通过任何潜在的安全障碍(例如多因素身份验证 (MFA))与受害者交谈,因此防御他们首先要提高意识。
“人们需要意识到攻击者可以欺骗电话号码——仅仅因为 800 或 888 号码给你打电话,并不意味着它是合法的,”理查森说,并补充说,“仅仅因为电话的另一端有一个美国人这条线也不意味着它是合法的。”
事实上,他说:“不要接听未知来电者的电话。我知道这是我们今天生活的世界的一个悲惨现实。”
然而,即使企业用户和消费者了解了所有的意识和安全措施,特别复杂的社会工程攻击仍然可能会成功。
“我采访过的一位 CryptoChameleon 受害者是一位退休的 IT 专业人士。他说:“我一生都在接受训练,以免遭受此类攻击。不知怎的,我就爱上了它。”
- :具有
- :是
- :不是
- $UP
- 1
- 23
- 7
- 800
- a
- Able
- ACCESS
- 访问
- 账号管理
- 账户
- 横过
- 要积极。
- 活动
- 通
- 添加
- 地址
- 忠告
- 后
- 驳
- 机构
- 经纪人
- 中介代理
- 所有类型
- 让
- 允许
- 还
- 美国人
- an
- 分析人士
- 和
- 回答
- 任何
- 保健
- 围绕
- AS
- At
- 攻击
- 攻击
- 认证
- 察觉
- 意识
- 障碍
- BE
- 成为
- 因为
- 很
- 开始
- 开始
- 作为
- 相信
- 属于
- 之间
- binance
- 阻止
- 英国的
- 商业
- 但是
- by
- 呼叫
- 呼叫中心
- 呼叫者
- 呼叫
- 营销活动
- CAN
- Center
- 更改
- 变
- 关闭
- coinbase
- 购买的订单均
- 佣金
- 沟通
- 通信
- 公司
- 复杂
- 机密
- CONFIRMED
- 后果
- 消费者
- 消费者
- 对话
- 公司
- 可以
- 资历
- cryptocurrency
- 加密货币交换
- 顾客
- 客户服务
- 合作伙伴
- 定制
- 网络犯罪
- 损伤
- 黑暗
- 暗读
- David
- 天
- 击败
- 卫冕
- 国防
- 详情
- 设备
- DID
- 没
- 导演
- 透露
- do
- 不
- 不会
- 域
- 不
- 向下
- 每
- 此前
- 赚
- 八
- 邮箱地址
- 员工
- 授权
- 鼓励
- 结束
- 订婚
- 工程师
- 进入
- 企业
- 企业
- 进入
- EVER
- 所有的
- 一切
- 证据
- 例子
- 换货
- 介绍
- 延期
- 事实
- 秋季
- FCC
- 二月
- 联邦
- 美国联邦通信委员会
- 姓氏:
- 针对
- 止
- ,
- 进一步
- 真正的
- 得到
- 给
- 去
- 非常好
- 黑客
- 民政事务总署
- 手
- 动手
- 有
- 有
- he
- 有帮助
- 高度
- 他的
- 历史
- 创新中心
- 但是
- HTTPS
- 数百
- i
- 确定
- 鉴定
- if
- 立即
- 影响
- in
- 说明
- 信息
- 运筹学
- 初始
- 房源搜索
- 内部
- 成
- IT
- 它的
- 一月
- 工作
- JPG
- 只是
- 保持
- 键
- 种
- 知道
- 已知
- 在很大程度上
- 名:
- 去年
- LastPass的
- 晚了
- 最新
- 最少
- 阅读
- 导致
- 合法
- 生活
- 喜欢
- 容易
- Line
- 生活
- ll
- 锁定
- 日志
- 看着
- 失去
- 制成
- 使
- 恶意
- 管理
- 经理
- 许多
- 主
- 可能..
- me
- 意味着
- 措施
- 外交部
- 可能
- 麦克风
- 分钟
- 赚钱
- 监控
- 月
- 更多
- 多因素身份验证
- my
- 姓名
- 自然
- 需求
- 全新
- 不包含
- 现在
- 数
- 数字
- of
- 最多线路
- 优惠精选
- 奥克塔
- on
- 一旦
- 一
- 仅由
- 运营商
- or
- 秩序
- 其他名称
- 输出
- 页
- 尤其
- 密码
- 密码
- 病人
- 员工
- 人
- 钓鱼
- 网络钓鱼活动
- 网络钓鱼诈骗
- 电话
- 图片
- 枢
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 加
- 潜力
- 可能
- 总统
- express
- 紧迫
- 小学
- 大概
- 市场问题
- 所以专业
- 提示
- 保护
- 目的
- 质量
- RE
- 阅读
- 真实
- 实时的
- 现实主义
- 现实
- 实现
- 真
- 接收
- 接收
- 最近
- 记录
- 在相关机构注册的
- 纪念
- 报告
- 报道
- 代表
- 右
- 上升
- ROBO
- s
- 说
- 对工资盗窃
- 说
- 诈骗
- 诈骗
- 脚本
- 保安
- 保安措施
- 看到
- 发送
- 前辈
- 服务
- 缩短
- 不久
- 签署
- 自
- 单
- 网站
- 技能
- 小
- So
- 社会
- 社会工程学
- 一些
- 不知何故
- 有人
- 东西
- 极致
- 发言
- 花费
- 偷窃行为
- 仍
- 商店
- 成功
- SUPPORT
- 应该
- 可疑
- 产品
- 拍摄
- 谈论
- 说
- 瞄准
- 目标
- 易于
- 比
- 这
- 线
- 世界
- 其
- 他们
- 然后
- 那里。
- 从而
- 博曼
- 他们
- 认为
- Free Introduction
- 彻底
- 虽然?
- 威胁
- 通过
- 票
- 次
- 类型
- 至
- 今晚
- 告诉
- 产品培训
- 招
- 类型
- 一般
- 独特
- 不明
- 空前的
- 网址
- us
- 使用
- 用户
- 用户
- 运用
- 利用
- 拱顶
- Ve
- 非常
- 副
- 副总裁
- 受害者
- 受害者
- 能见度
- 想
- 是
- 不是
- 手表
- we
- 井
- 为
- ,尤其是
- 是否
- 这
- 而
- WHO
- 谁
- 全
- 为什么
- 广泛
- 窗口
- 中
- 工作
- 世界
- 写
- 年
- 完全
- 和风网