LastPass, kripto para birimi hırsızlığıyla bağlantılı CryptoChameleon kimlik avı kitiyle kullanıcılarını hedef alan kötü niyetli bir kampanyaya karşı uyarıda bulunuyor.
CryptoChameleon, bu yılın başlarında tespit edilen, özel hazırlanmış Okta tek oturum açma (SSO) sayfalarını kullanan Federal İletişim Komisyonu (FCC) çalışanlarını hedef alan gelişmiş bir kimlik avı kitidir.
Mobil güvenlik şirketi Lookout’taki araştırmacılara göre , bu kimlik avı kitini kullanan kampanyalar aynı zamanda Okta, Gmail, iCloud, Outlook, Twitter, Yahoo ve AOL’yi taklit eden sayfalar kullanarak Binance, Coinbase, Kraken ve Gemini kripto para platformlarını da hedef aldı.
LastPass, araştırmaları sırasında hizmetinin yakın zamanda CryptoChameleon kitine eklendiğini ve “help-lastpass[.]com” alanında bir kimlik avı sitesinin barındırıldığını keşfetti .
Saldırgan, potansiyel kurbanla iletişim kurmayı (sesli kimlik avı) ve yetkisiz erişim sonrasında hesabın güvenliğini sağlamaya yardımcı olmaya çalışan bir LastPass çalışanı gibi davranmayı içeren birden fazla sosyal mühendislik tekniğini birleştirir.
LastPass’ın bu kampanyada gözlemlediği taktikler aşağıda verilmiştir:
- Kurbanlar, LastPass hesaplarına yetkisiz erişim olduğunu iddia eden bir 888 numarasından çağrı alıyor ve “1” veya “2” tuşuna basarak erişime izin vermeleri veya engellemeleri isteniyor.
- Erişimi engellemeyi tercih etmeleri halinde, sorunu çözmek için kendilerine bir sonraki aramanın yapılacağı söylendi.
- İkinci bir çağrı, sahte bir numaradan geliyor; arayan kişi kendisini LastPass çalışanı gibi göstererek “support@lastpass” adresinden sahte LastPass sitesine bağlantı içeren bir kimlik avı e-postası gönderiyor.
- Bu siteye ana şifrenin girilmesi, saldırganın hesap ayarlarını değiştirmesine ve meşru kullanıcıyı kilitlemesine olanak tanır.
Kötü amaçlı web sitesi şu anda çevrimdışı ancak büyük olasılıkla başka kampanyalar da takip edecek ve tehdit aktörleri yeni alan adlarına güvenecek.
Popüler şifre yönetimi hizmetinin kullanıcılarının, LastPass’tan geldiğini iddia eden ve acil eylem çağrısında bulunan şüpheli telefon çağrılarına, mesajlara veya e-postalara karşı dikkatli olmaları önerilir.
Bu kampanyadaki şüpheli iletişime ilişkin bazı göstergeler arasında “Sizin için buradayız” konulu e-postalar ve mesajdaki bağlantılar için kısaltılmış bir URL hizmetinin kullanılması yer almaktadır. Kullanıcılar bu girişimleri suistimal@lastpass.com adresinden LastPass’a bildirmelidir .
Hizmet türü ne olursa olsun, ana şifre tüm hassas bilgilerinizin anahtarı olduğundan kimseyle paylaşılmamalıdır.