Cyfrowy kameleon siedzący na klawiaturze komputera z tłem z binarnym kodem.
Tech

Fatalna passa LastPass trwa. CryptoChameleon może wykraść twoje hasło główne

5 minut czytania
Komentarze

LastPass to popularny menadżer haseł, za którym od wielu miesięcy ciągną się sytuacje, które mogą odbijać się na zaufaniu do serwisu. Głośną sprawą było zhakowanie LastPass – hakerzy wykradli kod źródłowy platformy oraz zastrzeżone informacje będące w większości dokumentacją techniczną serwisu. Przestępcy podszywali się też pod CEO firmy, używając sklonowanego głosu. Teraz mamy kolejną sytuację – kampanię phishingową, która jest na tyle skuteczna, że użytkownicy podają przestępcom swoje hasła główne.

Grafika przedstawiająca logo "LastPass" z ilustracjami symbolizującymi zarządzanie hasłami: smartfon, karty identyfikacyjne, zabezpieczenia i urządzenia sieciowe, na czerwonym tle.
Fot. LastPass / zrzut ekranu

Na czym polega najnowsza kampania phishingowa?

Wyróżnia ją to, że wykorzystuje CryptoChameleon, czyli zaawansowany zestaw do phishingu, który umożliwia atakującym tworzenie kopii stron pojedynczego logowania (SSO), a następnie wykorzystanie kombinacji wiadomości e-mail, SMS i phishingu głosowego w celu oszukania ofiary tak, by udostępniła określone informacje: nazwę użytkowników, hasła dostępu, a nawet dokumenty tożsamości ze zdjęciem.

Co więcej, ofiara bywa najpierw proszona o uzupełnienie captcha. To może uniemożliwić automatycznym narzędziom analitycznym zidentyfikowanie witryny phishingowej, a ofierze daje złudzenie wiarygodności, ponieważ zazwyczaj tylko legalne witryny używają captcha.

Laptop z ekranem wyświetlającym słowo "FAKE" i liczby, otoczony trójwymiarowymi ikonami e-mail unosi się w wirtualnej przestrzeni.
Fot. Obraz wygenerowany za pomocą DALL-E 3

‍Ataki CryptoChameleon zazwyczaj nie są rozpowszechnione, ale są skuteczne. Są bowiem skierowane w stronę obiektów lub osób o wysokiej wartości dla cyberprzestępców. Wyróżnia je to, jak dobrze potrafią manipulować użytkownikami, aby osiągnąć cel.

Narzędzie to było wykorzystywane do ataków na giełdy kryptowalut Coinbase i Binance, potem skupiono się na atakowaniu przedsiębiorstw – phishing korporacyjny wykorzystywał w tym przypadku fałszywą domenę fcc-okta.com, która naśladowała stronę Okta Single Sign On (SSO) należącą do amerykańskiej Federalnej Komisji Łączności (FCC).

Mechanizm ataku z wykorzystaniem CryptoChameleon

Kampania ta określana jest jako bardzo wyrafinowana – przestępcy postawili na jakość zamiast na ilość, poświęcili czas i zasoby, aby oszukać swoje ofiary. I prawdopodobnie w wielu przypadkach osiągnęli swój cel, czyli wyłudzenie master password do menadżera LastPass. Spójrzmy na mechanizm tego ataku.

  1. Kontakt inicjalny: Ofiara otrzymuje telefon z numeru 888. Automatyczny dzwoniący informuje klienta, że ​​jego konto zostało otwarte z nowego urządzenia. Następnie prosi o naciśnięcie „1”, aby zezwolić na dostęp, lub „2”, aby go zablokować. Po naciśnięciu „2” informuje się ich, że wkrótce otrzymają telefon od przedstawiciela obsługi klienta, aby „zamknąć zgłoszenie”.
  2. Fałszywa obsługa klienta: Następuje połączenie z numeru spoofingowego, a po drugiej stronie słuchawki znajduje się żywa osoba, zwykle z amerykańskim akcentem. Inne ofiary CryptoChameleon również zgłaszały rozmowy z osobami z brytyjskim akcentem.
  3. Zdobycie zaufania: Atakujący buduje relację z ofiarą, oferując pozornie pomocne porady.
  4. Strona phishingowa: Atakujący wysyła fałszywy e-mail LastPass z krótkim adresem URL, kierującym ofiarę do strony phishingowej. Kliknięcie adresu URL prowadzi do repliki strony internetowej zaprojektowanej w celu kradzieży hasła głównego.
  5. Przejęcie konta: Po wprowadzeniu przez ofiarę hasła głównego na fałszywej stronie, atakujący używa go do przejęcia kontroli nad prawdziwym kontem LastPass i zablokowania dostępu ofiary. Przestępcy w czasie rzeczywistym obserwują dane logowania i wpisywane hasło główne, następnie używają go do zalogowania się na konto ofiary. Natychmiast zmieniają podstawowy numer telefonu, adres e-mail i hasło główne, blokując w ten sposób dostęp.

Jak dotąd atak był skuteczny wobec co najmniej ośmiu klientów LastPass – ale prawdopodobnie ofiar jest więcej. Ofiarami tej kampanii phishingowej, według Davida Richardsona, wiceprezes ds. analizy zagrożeń w firmie Lookout (jako pierwsza zidentyfikowała i zgłosiła najnowszą kampanię do LastPass), był nawet emerytowany specjalista IT, który przez całe życie trenował, jak nie dać się nabrać na tego rodzaju ataki.

Podjęte przez LastPass działania

LastPass zamknął podejrzaną domenę wykorzystaną w ataku, tj. help-lastpass.com, wkrótce po jej uruchomieniu. Napastnicy kontynuowali swoją aktywność pod nowym adresem IP.

Ekran z postem na Twitterze firmy LastPass ostrzegającym przed próbami wyłudzenia informacji, w tle czerwone tło z białym tekstem: "No one at LastPass will ever ask for your master password".
Fot. LastPass / X.com (zrzut ekranu)

Trzeba pamiętać, że LastPass nigdy nie prosi użytkowników o podanie hasła. Serwis ostrzega, aby użytkownicy menadżera haseł ignorowali ​​wszelkie niechciane lub niezapowiedziane przychodzące połączenia telefoniczne (automatyczne lub od osoby na żywo) lub SMS-y rzekomo pochodzące od LastPass i związane z niedawną próbą zmiany hasła, lub informacji o koncie. Są one częścią trwającej kampanii phishingowej. 

W menadżerach przechowywane są setki haseł, których nie musimy pamiętać. Najważniejsze jest to, które daje do nich dostęp – master password, czyli hasło główne. Je powinniśmy pamiętać – i nie zdradzać absolutnie nikomu. Kto uzyska bowiem dostęp do hasła głównego, będzie mieć dostęp do wszystkich zapisanych kont i haseł w menadżerze.

Źródło: DarkReading. Zdjęcie otwierające: obraz wygenerowany przez DALL-E

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Motyw