Nuovo attacco informatico contro LastPass. Dopo quello sventato da un dipendente, la software house è ora diventata il bersaglio di CryptoChameleon, un phishing kit usato per il furto delle criptovalute. Sfruttando l’ingegneria sociale, i cybercriminali cercano di ottenere la master password.
Telefonate da un finto dipendente
CryptoChameleon è il classico Phishing-as-a-Service (PhaaS). Pagando un abbonamento, i cybercriminali ricevono tutti gli strumenti per effettuare attacchi di phishing, incluso il kit che permette l’accesso a numerose piattaforme di criptovalute, come Binance, Coinbase, Kraken e Gemini, che usano servizi di login di terze parti (Okta, Gmail, Outlook, Yahoo, X e AOL).
Sfruttando ingegneria sociale, phishing, smishing e vishing, i cybercriminali cercano di ottenere le credenziali di accesso. L’ultima tecnica è stata usata per colpire gli utenti di LastPass. Al kit CryptoChameleon è stato recentemente aggiunto un dominio che sembra legittimo, ma in realtà è un sito di phishing.
L’ignara vittima riceve una telefonata da un presunto dipendente di LastPass che afferma di aver notato un accesso non autorizzato all’account, chiedendo di premere i tasti 1 o 2 per consentire o bloccare l’accesso. Se viene premuto 2, l’utente verrà messo in contatto con un altro falso dipendente che gli dirà di cliccare sul link presente nell’email inviata.
Questo link porta al suddetto sito di phishing che sembra quello legittimo. Se l’utente inserisce la master password, i cybercriminali accederanno all’account e cambieranno le impostazioni per impedire il login al proprietario.
LastPass sottolinea che non chiederà mai la master password. Quindi gli utenti devono subito chiudere la telefonata e contattare l’azienda all’indirizzo abuse@lastpass.com. Ovviamente non deve essere cliccato nessun link all’interno di email o SMS.
Ti potrebbe interessare
21 apr 2024