CryptoChameleon kimlik avı kiti, LastPass kullanıcılarını ana şifrelerini paylaşmaları için kandırmak isteyen vishing saldırganları tarafından kullanılıyor.
“Başlangıçta yeni bir park edilmiş alan adını öğrendik (yardım-son geçiş[.]iletişim) ve yayına girmesi ve giriş sayfamızı taklit etmeyi amaçlayan bir kimlik avı sitesi veya benzeri bir şey sunmaya başlaması durumunda izleme için web sitesini derhal işaretliyoruz. LastPass istihbarat analisti Mike Kosak, bu sitenin aktif hale geldiğini ve müşterilerimize karşı bir kimlik avı kampanyasında kullanıldığını tespit ettiğimizde, siteyi kapatmak için satıcımızla birlikte çalıştık” dedi.
Site kapatıldı ancak şirket, diğer sitelerin de hızlı bir şekilde açılmasını bekliyor ve bu nedenle kullanıcıları, kendilerini arayıp şirket temsilcisi gibi davranan saldırganlara karşı dikkatli olmaları konusunda uyarıyor.
LastPass’ı taklit eden şiddetli saldırı
Aramalar 888’li bir numaradan geliyor ve arayan kişi, kullanıcının LastPass hesabına yeni bir cihazdan erişildiğini iddia ediyor ve erişime izin vermek için “1”e veya erişimi engellemek için “2”ye basması talimatını veriyor.
Kosak, “Alıcının ‘2’ye basması halinde kısa süre içinde müşteri temsilcisinden ‘bilet kapatma’ çağrısı alacağı söyleniyor” diyor.
Daha sonra sahte bir telefon numarasından bir telefon alırlar. Arayan kişi bir LastPass çalışanı olduğunu iddia ediyor ve alıcıya, hesabına erişimi nasıl sıfırlayacağını bildiren bir e-posta beklemesini söylüyor.
Bu şekilde hazırlanan alıcının, e-postayı kimlik avı göstergeleri açısından dikkatlice kontrol etme olasılığı daha düşüktür ve sağlanan kısaltılmış URL’yi tıklayıp yukarıda adı geçen kimlik avı sitesine gitme olasılığı daha yüksektir.
(Çok ikna edici) kimlik avı e-postası
“Alıcı, kimlik avı sitesine ana şifresini girerse, tehdit aktörü LastPass hesabında oturum açmaya ve hesap içindeki ayarları değiştirerek gerçek kullanıcıyı kilitleyip hesabın kontrolünü ele geçirmeye çalışır. Bu değişiklikler arasında birincil telefon numarası ve e-posta adresinin yanı sıra ana şifrenin değiştirilmesi de yer alabilir.” diye tamamladı Kosak.
Bu kampanyaların devam etmesi bekleniyor
CryptoChameleon, tehdit aktörlerinin gerçeğe çok benzeyen sahte giriş sayfaları oluşturmasına olanak tanıyan, kimlik bilgilerini ve ara sıra diğer hassas verileri çalmalarına olanak tanıyan nispeten yeni bir kimlik avı kitidir.
Lookout araştırmacılarına göre kimlik avı kiti, popüler kripto para borsalarının ve diğer hizmetlerin (Binance, Coinbase, Gemini, Kraken, trezor vb.) giriş sayfalarını, e-posta, şifre yönetimi ve tek oturum açma (SSO) hizmetlerini kopyalayabiliyor Gmail, Outlook, iCloud, AOL, LastPass, Okta ve diğerleri gibi.
Kullanıcılar genellikle SMS mesajları, e-postalar ve telefon görüşmeleri yoluyla phishing sayfalarına yönlendiriliyor.
“Bu kimlik avı kampanyasını engellemek için çok çalıştık ve ilk kimlik avı sitesini kapattık. Ancak ilk kimlik avı kiti LastPass markasını sunmaya devam ettiğinden, müşterilerimizin bu taktiklerden haberdar olabilmesi ve şüpheli bir çağrı, mesaj veya e-posta almaları durumunda uygun yanıtı alabilmeleri için bu bilgiyi paylaşıyoruz.” diye konuştu.
Şüpheli telefon çağrıları, mesajlar ve e-postalar şu adrese bildirilmeli/iletilmelidir: [email protected].