LastPass ha avvertito gli utenti circa una campagna dannosa che sfrutta il kit di phishing CryptoChameleon associato al furto di criptovaluta. CryptoChameleon è un kit di phishing avanzato che prende di mira i dipendenti della Federal Communications Commission (FCC) utilizzando pagine Single Sign-On (SSO) Okta personalizzate. Secondo la società di sicurezza Lookout, le campagne che utilizzano questo kit di phishing hanno preso di mira anche le piattaforme di criptovaluta Binance, Coinbase, Kraken e Gemini. Solitamente venivano utilizzate pagine fake di Okta, Gmail, iCloud, Outlook, X, Yahoo e AOL. LastPass ha scoperto che il suo servizio è stato recentemente aggiunto al kit CryptoChameleon e sito di phishing era ospitato nel dominio "help-lastpass[.]com". L'aggressore combina diverse tecniche di ingegneria sociale che prevedono di contattare la potenziale vittima (phishing vocale) e di fingere di essere un dipendente LastPass che cerca di aiutare a proteggere l'account in seguito ad un accesso non autorizzato.
LastPass: come avviene l’attacco della campagna di phishing
LastPass ha osservato le varie fasi di questa campagna dannosa. In primis, le vittime ricevono una chiamata da un numero 888. Una voce avverte di un accesso non autorizzato al proprio account LastPass. A questo punto viene chiesto agli utenti di consentire o bloccare l'accesso premendo "1" o "2". Se questi scelgono di bloccare l'accesso, viene detto loro che riceveranno una chiamata di follow-up per risolvere il problema. Una seconda chiamata proviene da un numero contraffatto, in cui un falso dipendente LastPass, invia un'e-mail di phishing da "support@lastpass" con un collegamento al sito falso LastPass. L'immissione della password principale su questo sito consente all'aggressore di modificare le impostazioni dell'account e bloccare l'utente legittimo.
Il sito web dannoso è ora offline. Tuttavia, è molto probabile che seguiranno altre campagne e gli autori delle minacce faranno affidamento su nuovi domini. Si consiglia agli utenti del popolare servizio di gestione delle password di fare attenzione a telefonate, messaggi o e-mail sospette che affermano di provenire da LastPass e sollecitano un'azione immediata. Alcuni indicatori di comunicazioni sospette di questa campagna includono e-mail con oggetto "Siamo qui per te" e l'uso di un servizio URL abbreviato per i collegamenti nel messaggio. Gli utenti possono segnalare questi tentativi di truffa a LastPass all'indirizzo abuse@lastpass.com. Indipendentemente dal servizio, bisogna ricordare che le proprie password non devono essere condivise con nessuno poiché sono la chiave di tutte le tue informazioni sensibili.