Un argumentaire aux termes étranges destiné aux vivants vise à inciter les victimes à cliquer sur un lien malveillant si elles pensent que le message ne leur est pas destiné.
Êtes-vous sûr d’être toujours en vie ? Si tel est le cas, vous pourriez tomber dans le piège d’une escroquerie de phishing visant à obtenir les mots de passe de connexion principaux des utilisateurs du gestionnaire de mots de passe LastPass.
OK, cela semble bizarre, mais à certains égards, ce n’est pas le cas. Si une personne décède, sa famille immédiate peut ne pas savoir comment accéder au gestionnaire de mots de passe du défunt et peut contacter le fournisseur pour lui demander accès. Les escrocs soupçonnés de faire partie du groupe cybercriminel CryptoChameleon tentent d’en profiter en envoyant des messages de phishing aux termes étranges aux clients LastPass.
L’objectif, vraisemblablement, n’est pas seulement d’obtenir les informations de connexion LastPass, mais également d’accéder au portefeuille de crypto-monnaie de l’utilisateur et de vider son contenu.
Vendredi, LastPass a envoyé un avertissement aux clients concernant la campagne de phishing, qui a débuté au milieu de ce mois, car les messages usurpent le domaine LastPass en semblant provenir de l’entreprise.
La ligne d’objet indique « Demande d’héritage ouverte (URGENTE SI VOUS N’ÊTES PAS DÉCÉDÉ) » et le message commence : « Un certificat de décès a été téléchargé par un membre de la famille pour retrouver l’accès au compte LastPass de
L’e-mail indique qu’un dossier d’assistance a été ouvert pour exécuter la demande et comprend des informations fabriquées concernant un agent supposé affecté au dossier, notamment un numéro d’identification d’agent, la date d’ouverture du dossier et la priorité du dossier.
Il comprend également un lien pour annuler la demande, qui dirige en fait la victime vers une URL contrôlée par l’attaquant où la victime est invitée à saisir son mot de passe principal LastPass, dans le but de récupérer ses informations d’identification.
L’e-mail se termine par la déclaration « Votre sécurité est notre priorité absolue. Ne partagez jamais votre mot de passe principal avec qui que ce soit, y compris nous ! »
Dans certains cas, un acteur malveillant a également téléphoné à des personnes, prétendant appartenir à LastPass et les invitant à se rendre sur le site de phishing et à saisir leur mot de passe principal.
Dans son alerte, LastPass a rappelé aux utilisateurs qu’il ne demande jamais leur mot de passe principal.
Un problème délicat à prévenir
David Shipley, directeur de la société canadienne de sensibilisation à la sécurité des employés Beauceron Security, a qualifié ce discours de « leurre de phishing le plus créatif » qu’il ait vu cette année.
« Je dois me demander s’ils ont utilisé l’IA pour proposer ce concept », a-t-il ajouté.
Cependant, Roger Grimes, conseiller RSSI de la défense axé sur les données chez KnowBe4, a déclaré que c’était « loin d’être » l’appât de phishing le plus étrange qu’il ait vu ; L’ingénierie sociale est impliquée dans jusqu’à 90 % de tous les piratages réussis, a-t-il déclaré dans un e-mail.
« Dans ce cas, le hack d’ingénierie sociale visait à convaincre l’utilisateur de télécharger un logiciel malveillant », a-t-il déclaré. « C’est difficile à éviter. Je dis toujours aux gens d’apprendre ce qui suit et de le pratiquer religieusement : si vous recevez un message inattendu vous demandant de faire quelque chose que vous n’avez jamais fait auparavant, au moins pour cet expéditeur, recherchez la demande en utilisant des méthodes fiables avant de l’exécuter. Cela vous évitera 99 % des escroqueries d’ingénierie sociale, y compris celle-ci. »
Le personnel devrait utiliser MFA
Si le gestionnaire de mots de passe approuvé par l’entreprise n’autorise pas MFA à se connecter à l’application, il doit disposer d’un facteur de connexion supplémentaire, par exemple en obligeant l’employé à fournir d’autres informations confidentielles qui sont beaucoup plus difficiles à obtenir.
La lutte contre les demandes de phishing concernant les informations d’identification du gestionnaire de mots de passe nécessite une combinaison d’éducation des utilisateurs et d’ajout de frictions aux connexions en exigeant plus que le mot de passe principal et le MFA pour accéder aux comptes ou ajouter de nouveaux appareils, a déclaré Shipley, qui a souligné que certains autres fournisseurs de gestion de mots de passe exigent l’accès à une clé secrète en plus d’un mot de passe principal pour ajouter l’accès à un nouvel appareil.
Les responsables informatiques devraient envoyer un e-mail aux employés pour les informer de l’arnaque, créer un lien vers le blog LastPass et les encourager à signaler tout e-mail qui semble provenir de LastPass, a-t-il déclaré.
L’avertissement LastPass inclut des adresses IP et des URL suspectes comme références pour les responsables de la sécurité de l’information. Il a supprimé le site de phishing initial.
Arnaque s’en prenant à « une large base d’utilisateurs »
Lorsqu’on lui a demandé si la campagne ciblait les entreprises clientes ainsi que les consommateurs, un représentant de l’équipe de renseignement, d’atténuation et d’escalade des menaces de LastPass a déclaré qu’elle ciblait « une large base d’utilisateurs ».
Selon l’avertissement LastPass, l’URL associée à cette campagne a été liée par Google Threat Intelligence au groupe cybercriminel connu CryptoChameleon (également connu sous le nom d’UNC5356). Le groupe est associé au ciblage des échanges de crypto-monnaie et des utilisateurs dans l’intention de voler de la crypto-monnaie. Le groupe avait déjà utilisé LastPass dans le cadre d’un kit de phishing en avril 2024.
D’autres indicateurs de comportement malveillant associés à cette campagne, selon LastPass, incluent l’utilisation par les acteurs de la menace de l’hôte pare-balles connu NICENIC pour héberger le site de phishing, et la tentative d’ingénierie sociale directe, qui sont encore une fois cohérents avec le comportement précédent de CryptoChameleon.
Dans son avis, la société a également inclus les indicateurs de compromission, ainsi qu’une liste d’URL associées aux adresses IP malveillantes utilisées par les attaquants.
LastPass demande aux clients de transmettre tout e-mail de phishing ou capture d’écran de textes ciblant ses produits à abuse@lastpass.com.
