Os usuários do LastPass no Android e em outras plataformas são alvos de uma campanha de phishing que combina chamadas falsas de atendimento ao cliente com e-mails inteligentemente projetados com a marca da empresa para roubar suas senhas mestras. Oriente ataque em várias camadas explora táticas de engenharia social para induzir as vítimas a entregar as chaves do seu cofre de senhas, comprometendo potencialmente todas as suas contas online.
O esquema de phishing, divulgado recentemente pelo LastPass, aproveita um notório kit de phishing espargido porquê CryptoChameleon. Oriente kit permite que os cibercriminosos criem facilmente páginas de login falsas que imitam serviços legítimos, porquê o LastPass, em uma tentativa enganosa de roubar credenciais de login.
De telefonemas enganosos a e-mails falsos
O ataque se desenrola em uma série de etapas calculadas destinadas a gerar pânico e pressionar as vítimas a tomarem decisões precipitadas. O ato inicial envolve um telefonema, supostamente do suporte do LastPass. O chamador informa à vítima que sua conta foi acessada de um dispositivo não reconhecido. Para aumentar o tino de urgência, o chamador instrui a vítima a pressionar um número específico no teclado do telefone. Isso permite ou bloqueia o suposto aproximação não autorizado.
Você pode optar por bloquear o aproximação. Mas a farsa continua com quem ligou prometendo uma relação de seguimento de um “representante do cliente” para resolver o problema. Esta segunda chamada, porém, vem de um número impuro, mascarando a verdadeira identidade do invasor. Fazendo-se passar por um funcionário legítimo do LastPass, o golpista envia um e-mail aparentemente solene contendo um link para “redefinir” sua conta. A urgência criada pelos telefonemas, aliada ao e-mail de fisionomia solene, pode facilmente enganar até mesmo usuários experientes em crer que sua conta está genuinamente comprometida. Clicar no link do e-mail leva a vítima a um site de phishing inteligentemente projetado – uma réplica quase perfeita completa com a marca LastPass e página de login. Sem saber do miragem, a vítima pode inserir sua senha mestra na tentativa de restabelecer o controle de sua conta.
Depois que a senha mestra é inserida na página de login falsa, o invasor obtém aproximação totalidade ao cofre do LastPass da vítima. Isso lhes dá a capacidade de não somente roubar todos os nomes de usuário e senhas armazenados. Mas também pode modificar potencialmente informações críticas da conta, porquê endereços de e-mail e números de telefone. Com esse nível de aproximação, os invasores podem sequestrar as contas on-line da vítima, promover estragos financeiros e até mesmo se passar pela vítima para atingir seus círculos sociais.
LastPass não é a única vítima do CryptoChameleon
O CryptoChameleon tem sido usado para atingir uma gama mais ampla de serviços online além do LastPass. Pesquisadores de segurança da Lookout descobriram que campanhas de phishing usando o kit plataformas populares personificadas porquê Binance e Coinbase. Nem mesmo gigantes das redes sociais porquê X e Facebook são poupados. Isto indica uma campanha mais ampla por segmento dos cibercriminosos com o objetivo de roubar credenciais de login em vários serviços online.
Pregão
O LastPass, ao deslindar a campanha de phishing direcionada a seus usuários, tomou medidas rápidas para mitigar os danos. A empresa retirou do ar o site fraudulento usado pelos invasores para roubar credenciais. Outrossim, o LastPass está informando ativamente sua base de usuários sobre o esquema de phishing, instando-os a tomar zelo com chamadas, textos e e-mails suspeitos, incluindo aqueles com a marca solene da empresa.
A sombra das violações do pretérito se agiganta
A recente campanha de phishing direcionada aos usuários do LastPass chega em um momento particularmente frágil para a empresa de gerenciamento de senhas. LastPass reconheceu ter enfrentado um incidente de segurança de dados em 2022, onde hackers obtiveram aproximação a partes dos dados de seus clientes. Evidente, o LastPass afirmou que as senhas mestras permaneceram seguras. No entanto, esta violação anterior sem incerteza corroeu a crédito dos utilizadores e aumentou a sofreguidão em torno da segurança das suas palavras-passe.
Para se manter seguro, o LastPass enfatiza um ponto crucial. Representantes legítimos de suporte ao cliente nunca solicitarão sua senha mestra. Se você receber uma chamada, mensagem de texto ou e-mail alegando ser do LastPass e pedindo uma ação imediata, mormente aquela envolvendo sua senha mestra, isso é um sinal de alerta. Não clique em nenhum link. Outrossim, desligue o telefone imediatamente e relate a notícia suspeita diretamente ao LastPass em (e-mail protegido).
Lembre-se de que sua senha mestra é a base de sua segurança online. Você deve permanecer vigilante e adotar uma boa ração de ceticismo em relação à notícia não solicitada. Dessa forma, você pode reduzir significativamente o risco de ser vítima dessas tentativas astutas de phishing.
Para permanecer por dentro sobre tudo que acontece no mundo da tecnologia e dos games, continue acompanhando o TecMania.
