Când discutăm despre securitate digitală, istoria ne arată că tacticile vechi revin sub forme noi: LastPass avertizează asupra unei campanii de phishing care imită procesul de moștenire pentru a obține acces la seifurile de parole ale utilizatorilor. Operațiunea vizează clienți LastPass din diverse regiuni și utilizează domenii false și infrastructură legată de un grup cunoscut pentru câștiguri financiare, CryptoChameleon (UNC5356).
Campania a demarat la mijlocul lunii octombrie și pare o versiune extinsă a unei operațiuni similare care a vizat utilizatorii LastPass în aprilie 2024. Atacatorii trimit mesaje susținând că un membru al familiei a încărcat un certificat de deces pentru a solicita acces la seiful LastPass al victimei. Emailul conține un număr fals de agent, menit să convingă destinatarul de legitimitatea cererii, și un link prin care se cere anularea solicitării dacă persoana este în viață. În realitate, linkul redirecționează către lastpassrecovery[.]com, o pagină falsă care solicită introducerea parolei principale.
Pe lângă pagina falsă, atacatorii au folosit în unele cazuri apeluri telefonice în care s-au dat drept angajați LastPass și au insistat ca victima să introducă datele pe site-ul fals. Un element nou și îngrijorător al campaniei este concentrarea pe passkey-uri. Domenii precum mypasskey[.]info și passkeysetup[.]com indică faptul că ținta nu mai este doar parola tradițională, ci și credențialele passwordless. Passkey-urile sunt un standard fără parolă bazat pe FIDO2/WebAuthn, care folosesc criptografie asimetrică în locul parolelor memorate. Managerii moderni de parole, LastPass, 1Password, Dashlane, Bitwarden, stochează și sincronizează acum passkey-uri pe dispozitive, ceea ce îi transformă într-o țintă atractivă pentru atacatori.
CryptoChameleon este cunoscut pentru kituri de phishing orientate spre furtul de criptomonede, vizând portofele Binance, Coinbase, Kraken și Gemini, și pentru pagini false de autentificare pentru Okta, Gmail, iCloud sau Outlook. Indiciile din infrastructura folosită de atacatori sugerează un obiectiv financiar, nu doar o simplă incursiune. Investigațiile anterioare arată că astfel de încălcări pot avea consecințe financiare reale: în 2022, LastPass a raportat un incident major în care copiile criptate ale seifurilor au fost sustrase, iar atacurile țintite ulterioare au provocat pierderi de criptomonede estimate la aproximativ 4, 4 milioane de dolari.
Mecanismul de moștenire din LastPass, numit emergency access, permite unei persoane desemnate de titularul contului să solicite acces la seif în caz de deces sau incapacitate. Procedura reală trimite un email titularului, iar după expirarea unei perioade de așteptare, accesul poate fi acordat persoanei desemnate. Tocmai această funcție a fost copiată de atacatori pentru a da impresia de legitimitate. Linkurile și domeniile identificate de LastPass indică faptul că sunt folosite atât pentru a fura parole tradiționale, cât și pentru a încerca capturarea passkey-urilor, o evoluție a tacticii care demonstrează adaptabilitatea actorilor rău intenționați.
Detaliile tehnice rămân relevante: kiturile de phishing ale CryptoChameleon au fost folosite anterior pentru a obține acces la portofele de criptomonede și continuă să vizeze servicii cunoscute. Combinarea de emailuri bine construite, pagini de autentificare false și apeluri telefonice de tip social engineering crește probabilitatea de succes a acestor înșelătorii. Pentru utilizatorii LastPass, semnele de alarmă sunt emailurile neașteptate referitoare la cereri de moștenire, linkurile care duc către domenii necunoscute și apelurile telefonice care insistă pentru grăbirea unor pași de securitate.
Passkey-urile promit autentificare mai sigură și mai comodă, însă adoptarea lor în ecosistemul managerilor de parole a creat o nouă suprafață de atac. Atacatorii nu mai țintesc doar parole text; încearcă să sustragă elementele care permit autentificarea passwordless. Aceasta complică munca apărătorilor: pe lângă recomandările obișnuite, verificarea URL-urilor, activarea autentificării cu doi factori acolo unde e disponibilă, evitarea introducerii datelor pe site-uri necunoscute, rămâne esențială educarea utilizatorilor privind modul în care arată comunicările oficiale ale serviciilor pe care le utilizează.
LastPass a publicat modelele folosite de atacatori și a identificat domeniile implicate, informații utile pentru echipele de securitate și pentru utilizatorii care vor să recunoască semnele unui atac. Reamintirea incidentului din 2022 și a efectelor sale subliniază cât de costisitoare pot fi compromiterile chiar și când datele furate sunt criptate, consecințele pot fi atât financiare, cât și legate de încredere. Atenția trebuie menținută asupra semnelor practice: solicitări neașteptate de acces, numere de agent inventate, domenii care imită pe cele oficiale, apeluri telefonice care cer acțiuni imediate.
LastPass, CryptoChameleon, aprilie 2024 și domeniile mypasskey[.]info sau passkeysetup[.]com apar în raportul recent și merită monitorizate de cei interesați de securitatea digitală. În contextul actual, orice funcție menită să ajute, precum emergency access, poate fi exploatată de rău intenționați pentru a păcăli utilizatorii. Doriți să verificați un email suspect? Verificați domeniul, nu doar numele afișat, și nu furnizați parole la apeluri telefonice. Care a fost cea mai recentă comunicare despre securitate pe care ați primit-o și ce v-a făcut să o considerați suspectă?
Fii primul care comentează