LastPass, kullanıcıları, alıcının öldüğünü iddia eden yeni bir kimlik avı saldırısı konusunda uyardı. Mesaja göre bir aile üyesi, alıcının şifre kasasına erişim sağlamak için bir ölüm sertifikası gönderdi. Kimlik avı e-postasındaki, sözde isteği durdurmak için kullanılan bir bağlantı, LastPass kullanıcısının ana şifresini isteyen sahte bir sayfaya yönlendiriyor.
“Miras Talebi Açıldı (ÖLMEMİŞSENİZ ACİL)
Lastpass hesabına yeniden erişim sağlamak için bir aile üyesi tarafından bir ölüm sertifikası yüklendi
Eğer vefat etmediyseniz ve bunun bir hata olduğunu düşünüyorsanız lütfen bu e-postayı STOP ile yanıtlayın”
LastPass bu kampanyayı şuraya bağlar: KriptoBukalemun (aynı zamanda olarak da bilinir) UNC5356), daha önce benzer sosyal mühendislik saldırılarıyla kripto para birimi kullanıcılarını ve platformlarını hedef alan bir grup. Aynı grup, Nisan 2024’te LastPass markasını bir kimlik avı kitinde kullanmıştı.
Kimlik avı girişimi, hesap sahibinin ölmesi veya iş göremez hale gelmesi durumunda belirlenen kişilerin bir kasaya erişim talep etmesine olanak tanıyan LastPass’teki bir acil durum erişim özelliği olan meşru miras sürecinden yararlanır.
Birinin şifre yöneticisi kimlik bilgilerini çalmak, saldırganların içeride saklanan her oturum açma bilgilerine erişmesine olanak tanır. Yakın zamanda 1Password kimlik bilgilerini çalma girişimini bildirdik.
Lastpass ayrıca şunu da belirtiyor:
“Kimlik avı sitelerinin birçoğu açıkça geçiş anahtarlarını hedeflemeyi amaçlıyor; bu da hem siber suçluların geçiş anahtarlarına artan ilgisini hem de tüketicilerin artan benimsemesini yansıtıyor.”
Geçiş anahtarları, parolaların yerine geçen çok güvenli bir yöntemdir. Kırılamaz, tahmin edilemez veya kimlik avına tabi tutulamazlar ve her seferinde şifre yazmanıza gerek kalmadan kolayca oturum açmanıza olanak tanırlar. LastPass, 1Password, Dashlane ve Bitwarden gibi çoğu şifre yöneticisi artık şifre anahtarlarını cihazlar arasında saklıyor ve senkronize ediyor.
Geçiş anahtarları genellikle bankacılık, kripto cüzdanlar, şifre yöneticileri ve şirket hesapları gibi yüksek değerli varlıkları koruduğu için saldırganlar için cazip bir ödül haline geldi.
Kullanıcılar için tavsiyeler
Geçiş anahtarlarının kendisi basit kimlik bilgileri hırsızlığı yoluyla kimlik avına tabi tutulamaz ancak saldırganlar kullanıcıları kandırarak şunları yapabilir:
- Kötü amaçlı bir siteye veya sahte giriş sayfasına yeni bir şifre kaydetme
- Sahte cihaz senkronizasyonlarını veya hesap transferlerini onaylama
- Geçiş anahtarlarını devre dışı bırakmak ve daha zayıf oturum açma yöntemlerine geri dönmek, ardından bu yedek kimlik bilgilerini çalmak
LastPass ve diğer güvenlik uzmanları şunları önermektedir:
- E-posta veya mesaj yoluyla aldığınız bağlantılara asla ana şifrenizi girmeyin.
- Geçiş anahtarlarının nasıl çalıştığını anlayın ve onları güvende tutun.
- Yalnızca resmi uygulamalar veya yer imleri aracılığıyla şifre yöneticinize giriş yapın.
- Acil eylem gerektiren acil veya endişe verici mesajlara karşı dikkatli olun.
- Meşru şirketlerin e-posta veya telefon yoluyla hassas kimlik bilgileri istemeyeceğini unutmayın.
- Tercihen bir web koruma modülüne sahip güncel, gerçek zamanlı bir kötü amaçlı yazılımdan koruma çözümü kullanın.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.