یک کمپین فیشینگ در حال انجام و بسیار پیچیده ممکن است برخی از کاربران LastPass را وادار کرده باشد که رمز عبور اصلی خود را به هکرها واگذار کنند.
مدیران گذرواژه همه رمزهای عبور کاربر - برای اینستاگرام، شغل آنها و هر چیز دیگری - را در یک مکان ذخیره میکنند و با یک رمز عبور "مستر" محافظت میشوند. آنها بار کاربران را از به خاطر سپردن اعتبار صدها حساب باز می کنند و آنها را قادر می سازند تا از رمزهای عبور پیچیده تر و منحصر به فرد برای هر حساب استفاده کنند. از سوی دیگر، اگر یک عامل تهدید به رمز عبور اصلی دسترسی پیدا می کند، آنها کلید هر یک از حساب های موجود در آن را خواهند داشت.
وارد CryptoChameleon، یک کیت فیشینگ جدید و عملی واقع گرایی بی نظیر
دیوید ریچاردسون، معاون رئیسجمهور توضیح میدهد که حملات CryptoChameleon چندان گسترده نیستند، اما در کلیپی که عمدتاً در سراسر جهان جرایم سایبری دیده نمیشود، موفق هستند، «به همین دلیل است که ما معمولاً شاهد این هستیم که شرکتها و سایر اهداف بسیار با ارزش را هدف قرار میدهند. اطلاعات تهدید در Lookout، که برای اولین بار آخرین کمپین را شناسایی و به LastPass گزارش کرد. خزانه گذرواژه یک پسوند طبیعی است، زیرا بدیهی است که در پایان روز میتوانید از آن درآمد کسب کنید.
تا کنون، CryptoChameleon موفق شده است حداقل هشت مشتری LastPass - اما احتمالا بیشتر - را به دام بیاندازد که به طور بالقوه رمز عبور اصلی خود را افشا می کنند.
تاریخچه مختصری از CryptoChameleon
در ابتدا، CryptoChameleon شبیه هر کیت فیشینگ دیگری بود.
اپراتورهای آن از اواخر سال گذشته وجود داشتند. در ژانویه، آنها با هدف قرار دادن صرافی های ارزهای دیجیتال Coinbase و Binance شروع کردند. این هدف گذاری اولیه، به علاوه مجموعه ابزار بسیار قابل تنظیم آن، نام خود را برای آن به ارمغان آورد.
با تقلید از صفحه Okta Single Sign On (SSO) متعلق به کمیسیون ارتباطات فدرال ایالات متحده (FCC)، تصویر در فوریه تغییر کرد، اما زمانی که آنها دامنه fcc-okta[.]com را ثبت کردند. ریچاردسون به یاد میآورد: «این ناگهان باعث شد که از یکی از کیتهای فیشینگ مصرفکنندهای که در آنجا میبینیم، به چیزی تبدیل شود که شرکت را هدف قرار میدهد و اعتبار شرکت را دنبال میکند.
ریچاردسون به دارک ریدینگ تایید کرد که کارمندان FCC تحت تاثیر قرار گرفتهاند، اما نمیتوانست بگوید چه تعداد یا این حملات منجر به عواقبی برای آژانس شده است یا خیر. او خاطرنشان می کند که این یک حمله پیچیده بود که انتظار دارد حتی روی کارمندان آموزش دیده کار کرده باشد.
مشکل CryptoChameleon فقط این نبود که چه کسی را هدف قرار داده بود، بلکه این بود که چگونه آنها را شکست داد. ترفند آن تعامل کامل، صبورانه و عملی با قربانیان بود.
برای مثال در نظر بگیرید کمپین فعلی علیه LastPass.
سرقت رمزهای عبور اصلی LastPass
زمانی شروع می شود که مشتری از یک شماره 888 تماسی دریافت کند. یک تماسگیرنده روبو به مشتری اطلاع میدهد که حسابش از یک دستگاه جدید دسترسی پیدا کرده است. سپس از آنها می خواهد که "1" را برای اجازه دسترسی یا "2" را برای مسدود کردن آن فشار دهند. پس از فشار دادن "2"، به آنها گفته می شود که به زودی از نماینده خدمات مشتری تماسی دریافت می کنند تا "بلیت را ببندند".
سپس تماس وارد می شود. بدون اینکه گیرنده بداند، از یک شماره جعلی است. در طرف دیگر خط یک فرد زنده است، معمولاً با لهجه آمریکایی. سایر قربانیان CryptoChameleon نیز گزارش داده اند که با ماموران بریتانیایی صحبت کرده اند.
ریچاردسون از مکالمات متعدد خود با قربانیان به یاد می آورد: «این نماینده مهارت های ارتباطی حرفه ای در مرکز تماس دارد و توصیه های واقعاً خوبی ارائه می دهد. "بنابراین، برای مثال، آنها ممکن است بگویند: "از شما می خواهم این شماره تلفن پشتیبانی را برای من یادداشت کنید." و از قربانیان میخواهند که شماره تلفن پشتیبانی واقعی را برای هر کسی که جعل میکنند بنویسند. و سپس آنها یک سخنرانی کامل به آنها می دهند: "فقط با این شماره با ما تماس بگیرید." من یک گزارش قربانی داشتم که آنها در واقع گفتند، "برای اهداف کیفی و آموزشی، این تماس در حال ضبط است." آنها از اسکریپت تماس کامل استفاده میکنند، هر چیزی که میتوانید به آن فکر کنید تا کسی باور کند که در حال حاضر واقعاً با این شرکت صحبت میکند.»
این عامل پشتیبانی فرضی به کاربر اطلاع می دهد که به زودی یک ایمیل ارسال می کند و به کاربر اجازه می دهد دسترسی به حساب خود را بازنشانی کند. در واقع، این یک ایمیل مخرب حاوی یک URL کوتاه شده است که آنها را به یک سایت فیشینگ هدایت می کند.
عامل پشتیبانی مفید در زمان واقعی مشاهده می کند که کاربر رمز عبور اصلی خود را در سایت کپی وارد می کند. سپس از آن برای ورود به حساب خود استفاده میکنند و بلافاصله شماره تلفن اصلی، آدرس ایمیل و رمز عبور اصلی را تغییر میدهند و در نتیجه قربانی را برای همیشه قفل میکنند.
ریچاردسون در تمام این مدت میگوید: «آنها متوجه نمیشوند که این یک کلاهبرداری است - هیچ یک از قربانیانی که با آنها صحبت کردم. یک نفر گفت، "فکر نمی کنم تا به حال رمز عبور اصلی خود را در آنجا وارد کرده باشم." [به آنها گفتم] «شما 23 دقیقه با این بچه ها تلفنی گذراندید. احتمالا این کار را کردی.»
آسیب
LastPass دامنه مشکوک مورد استفاده در حمله - help-lastpass[.]com - را مدت کوتاهی پس از انتشار آن خاموش کرد. مهاجمان همچنان پابرجا بودهاند و فعالیت خود را تحت یک آدرس IP جدید ادامه میدهند.
با مشاهده سیستم های داخلی مهاجمان، ریچاردسون توانست حداقل هشت قربانی را شناسایی کند. او همچنین شواهدی را ارائه کرد (که دارک ریدینگ آنها را محرمانه نگه میدارد) که نشان میدهد ممکن است بیش از اینها وجود داشته باشد.
وقتی از مایک کوساک، تحلیلگر ارشد اطلاعاتی LastPass خواسته شد، به دارک ریدینگ گفت: «ما جزئیاتی در مورد تعداد مشتریانی که تحت تأثیر این نوع کمپین قرار میگیرند را فاش نمیکنیم، اما از هر مشتری که ممکن است قربانی این کمپین و موارد دیگر باشد، حمایت میکنیم. کلاهبرداری ما افراد را تشویق میکنیم تا کلاهبرداریهای احتمالی فیشینگ و سایر فعالیتهای شرورانه جعل هویت LastPass را به ما گزارش دهند. [ایمیل محافظت شده]"
آیا دفاعی وجود دارد؟
از آنجایی که مهاجمان عملی CryptoChameleon با قربانیان خود از طریق هرگونه موانع امنیتی بالقوه مانند احراز هویت چند عاملی (MFA) صحبت می کنند، دفاع در برابر آنها با آگاهی آغاز می شود.
ریچاردسون میگوید: «مردم باید بدانند که مهاجمان میتوانند شمارههای تلفن را جعل کنند - فقط به این دلیل که یک شماره 800 یا 888 با شما تماس میگیرد، به این معنی نیست که مشروع است. این خط همچنین به معنای مشروع بودن آن نیست.»
در واقع او می گوید: «به تلفن تماس گیرندگان ناشناس پاسخ ندهید. من می دانم که این یک واقعیت غم انگیز در دنیایی است که امروز در آن زندگی می کنیم.
حتی با وجود تمام آگاهیها و اقدامات احتیاطی که برای کاربران تجاری و مصرفکنندگان شناخته شده است، یک حمله مهندسی اجتماعی پیچیده هنوز ممکن است از بین برود.
ریچاردسون به یاد می آورد: «یکی از قربانیان CryptoChameleon که با او صحبت کردم، یک متخصص فناوری اطلاعات بازنشسته بود. او گفت، من در تمام زندگی ام آموزش دیده ام تا در معرض این نوع حملات قرار نگیرم. یه جورایی دلم گرفت.»
LastPass از Dark Reading خواسته است تا موارد زیر را به مشتریان یادآوری کند:
-
هرگونه تماس تلفنی دریافتی ناخواسته یا ناخواسته (اتوماتیک یا با یک فرد زنده) یا پیامک هایی که ادعا می شود از LastPass مربوط به تلاش اخیر برای تغییر رمز عبور و/یا اطلاعات حساب شما هستند را نادیده بگیرید. اینها بخشی از یک کمپین فیشینگ در حال انجام است.
-
اگر این فعالیت را می بینید و نگران هستید که ممکن است به خطر افتاده باشید، با شماره شرکت تماس بگیرید [ایمیل محافظت شده].
-
و در نهایت، LastPass هرگز از شما رمز عبور شما را نمی خواهد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/lastpass-users-lose-master-passwords-ultra-convincing-scam