Cybercriminals pose as LastPass staff to hack password vaults

LastPassは、暗号通貨窃盗に関連するCryptoChameleonフィッシング・キットを使用した、ユーザーを標的にした悪質なキャンペーンについて警告している。

CryptoChameleonは、今年初めに発見された高度なフィッシングキットで、カスタムメイドのOktaシングルサインオン(SSO)ページを使って連邦通信委員会(FCC)の職員をターゲットにしていた。

モバイルセキュリティ会社Lookoutの研究者によると、このフィッシングキットを使ったキャンペーンは、暗号通貨プラットフォームのBinance、Coinbase、Kraken、Geminiも標的にしており、Okta、Gmail、iCloud、Outlook、Twitter、Yahoo、AOLを装ったページを使っていた。

調査の過程で、LastPassは最近自社のサービスがCryptoChameleonキットに追加されたこと、フィッシングサイトが “help-lastpass[.]com “ドメインでホストされていたことを発見した。

攻撃者は複数のソーシャルエンジニアリングのテクニックを組み合わせ、潜在的な被害者にコンタクトを取り(ボイスフィッシング)、LastPassの従業員のふりをして不正アクセス後のアカウントの安全性を確保しようとします。

以下は、LastPassがこのキャンペーンで確認した手口です:

  1. 被害者は888の番号から電話を受け、LastPassアカウントへの不正アクセスを要求される。
  2. アクセスをブロックすることを選択した場合、問題を解決するためのフォローアップの電話がかかってくると告げられる。
  3. 2回目の電話はなりすましの番号からで、発信者はLastPassの従業員を装い、「support@lastpass」から偽のLastPassサイトへのリンクを記載したフィッシングメールを送信する。
  4. このサイトでマスターパスワードを入力すると、攻撃者はアカウント設定を変更し、正規ユーザーを締め出すことができる。

悪意のあるウェブサイトは現在オフラインになっているが、他のキャンペーンが続く可能性が高く、脅威行為者は新しいドメインに頼るだろう。

人気のパスワード管理サービスをご利用の方は、LastPassを名乗り、早急な対応を促す不審な電話やメッセージ、メールにご注意ください。

このキャンペーンによる不審な通信の指標としては、「We’re here for you(私たちはあなたのためにここにいます)」という件名のメールや、メッセージ内のリンクに短縮URLサービスを使用していることなどが挙げられます。ユーザーはこれらの試みをLastPass(abuse@lastpass.com)まで報告してください。

どのようなサービスであれ、マスターパスワードはすべての機密情報の鍵であるため、誰とも共有しないでください。