LastPass против клиентов: как одним звонком украсть чужой аккаунт

Пользователи менеджера паролей LastPass стали целью убедительной фишинговой кампании, в которой злоумышленники использовали комбинацию звонков, электронной почты и SMS для получения мастер-паролей от аккаунтов. Об атаке сообщили представители компании.

В ходе кампании использовался комплект для фишинга CryptoChameleon, специализирующийся на криптовалютных аккаунтах, который был обнаружен в феврале специалистами Lookout. Набор инструментов включает в себя качественно оформленные URL-адреса, поддельные страницы входа, а также инструменты для осуществления звонков и отправки сообщений.

• Клиент LastPass получает звонок с номера 888 с сообщением о доступе к аккаунту с нового устройства. Пользователю предлагается нажать на цифру «1», чтобы разрешить доступ, или «2», чтобы заблокировать его.
• После отказа в доступе абоненту сообщают, что скоро ему позвонит представитель службы поддержки для «закрытия заявки». Затем от лица сотрудника LastPass жертве отправляется фишинговое письмо с сокращенной ссылкой на поддельный сайт.
• Если жертва вводит свой мастер-пароль на фишинговом сайте, мошенник пытается войти в учетную запись LastPass и изменить настройки, чтобы заблокировать доступ жертвы и получить контроль над учетной записью. Действия киберпреступника здесь могут включать изменение основного номера телефона и адреса электронной почты, а также самого мастер-пароля.

Фишинговое письмо

15 и 16 апреля активно велись атаки на клиентов LastPass, а поддельный сайт был закрыт 16 апреля.

Для защиты от подобных атак LastPass советует всегда сообщать в службу поддержки через официальные контакты после подозрительного звонка или сообщения, а также напоминает, что никому нельзя сообщать свой мастер-пароль.