Os usuários do LastPass no Android e em outras plataformas são alvos de uma campanha de phishing que combina chamadas falsas de atendimento ao cliente com e-mails inteligentemente projetados com a marca da empresa para roubar suas senhas mestras. Este ataque em várias camadas explora táticas de engenharia social para induzir as vítimas a entregar as chaves do seu cofre de senhas, comprometendo potencialmente todas as suas contas online.
O esquema de phishing, divulgado recentemente pelo LastPass, utiliza um notório kit de phishing conhecido como CryptoChameleon. Este kit permite que os cibercriminosos criem facilmente páginas de login falsas que imitam serviços legítimos, como o LastPass, em uma tentativa enganosa de roubar credenciais de login.
De telefonemas enganosos a e-mails falsos
O ataque se desenrola em uma série de etapas calculadas destinadas a criar pânico e pressionar as vítimas a tomarem decisões precipitadas. O ato inicial envolve um telefonema, supostamente do suporte do LastPass. O chamador informa à vítima que sua conta foi acessada de um dispositivo não reconhecido. Para aumentar o senso de urgência, quem liga instrui a vítima a pressionar um número específico no teclado do telefone. Isso permite ou bloqueia o suposto acesso não autorizado.
Você pode optar por bloquear o acesso. Mas a farsa continua com quem ligou prometendo uma ligação de acompanhamento de um “representante do cliente” para resolver o problema. Esta segunda chamada, porém, vem de um número falsificado, mascarando a verdadeira identidade do invasor. Fazendo-se passar por um funcionário legítimo do LastPass, o golpista envia um e-mail aparentemente oficial contendo um link para “redefinir” sua conta. A urgência criada pelas ligações, juntamente com o e-mail de aparência oficial, pode facilmente enganar até mesmo usuários experientes, fazendo-os acreditar que sua conta está genuinamente comprometida. Clicar no link do e-mail leva a vítima a um site de phishing inteligentemente projetado – uma réplica quase perfeita completa com a marca LastPass e página de login. Sem saber do engano, a vítima pode inserir sua senha mestra na tentativa de recuperar o controle de sua conta.
Depois que a senha mestra é inserida na página de login falsa, o invasor obtém acesso total ao cofre do LastPass da vítima. Isso lhes dá a capacidade de não apenas roubar todos os nomes de usuário e senhas armazenados. Mas também pode alterar potencialmente informações críticas da conta, como endereços de e-mail e números de telefone. Com esse nível de acesso, os invasores podem sequestrar as contas on-line da vítima, causar estragos financeiros e até mesmo se passar pela vítima para atingir seus círculos sociais.
LastPass não é a única vítima do CryptoChameleon
O CryptoChameleon tem sido usado para atingir uma gama mais ampla de serviços online além do LastPass. Pesquisadores de segurança da Lookout descobriram que as campanhas de phishing usando o kit se faziam passar por plataformas populares como Binance e Coinbase. Nem mesmo gigantes das redes sociais como X e Facebook são poupados. Isto indica uma campanha mais ampla por parte dos cibercriminosos com o objetivo de roubar credenciais de login em vários serviços online.
O LastPass, ao descobrir a campanha de phishing direcionada a seus usuários, tomou medidas rápidas para mitigar os danos. A empresa retirou do ar o site fraudulento usado pelos invasores para roubar credenciais. Além disso, o LastPass está informando ativamente sua base de usuários sobre o esquema de phishing, instando-os a tomar cuidado com chamadas, textos e e-mails suspeitos, incluindo aqueles com a marca oficial da empresa.
A sombra das violações do passado se agiganta
A recente campanha de phishing direcionada aos usuários do LastPass chega em um momento particularmente delicado para a empresa de gerenciamento de senhas. LastPass reconheceu ter enfrentado um incidente de segurança de dados em 2022, onde hackers obtiveram acesso a partes dos dados de seus clientes. Claro, o LastPass afirmou que as senhas mestras permaneceram seguras. No entanto, esta violação anterior sem dúvida corroeu a confiança dos utilizadores e aumentou a ansiedade em torno da segurança das suas palavras-passe.
Para se manter seguro, o LastPass enfatiza um ponto crucial. Representantes legítimos de suporte ao cliente nunca solicitarão sua senha mestra. Se você receber uma chamada, mensagem de texto ou e-mail alegando ser do LastPass e pedindo uma ação imediata, especialmente aquela envolvendo sua senha mestra, isso é um sinal de alerta. Não clique em nenhum link. Além disso, desligue o telefone imediatamente e relate a comunicação suspeita diretamente ao LastPass em [email protected].
Lembre-se de que sua senha mestra é a base de sua segurança online. Você deve permanecer vigilante e adotar uma boa dose de ceticismo em relação à comunicação não solicitada. Dessa forma, você pode reduzir significativamente o risco de ser vítima dessas tentativas astutas de phishing.