Мошенники нашли простой способ похищать мастер-пароли пользователей LastPass.
Пользователи менеджера паролей LastPass стали целью убедительной фишинговой кампании, в которой злоумышленники использовали комбинацию звонков, электронной почты и SMS для получения мастер-паролей от аккаунтов. Об атаке сообщили представители компании.
В ходе кампании использовался комплект для фишинга CryptoChameleon, специализирующийся на криптовалютных аккаунтах, который был обнаружен в феврале специалистами Lookout. Набор инструментов включает в себя качественно оформленные URL-адреса, поддельные страницы входа, а также инструменты для осуществления звонков и отправки сообщений.
Фишинговое письмо
15 и 16 апреля активно велись атаки на клиентов LastPass, а поддельный сайт был закрыт 16 апреля.
Для защиты от подобных атак LastPass советует всегда сообщать в службу поддержки через официальные контакты после подозрительного звонка или сообщения, а также напоминает, что никому нельзя сообщать свой мастер-пароль.
Ладно, не доказали. Но мы работаем над этим