Une fausse alerte convaincante a presque trompé un employé malwarebytes pour donner ses informations d’identification 1Password.
MalwareBytes a signalé une nouvelle campagne de phishing qui a armé la confiance des utilisateurs dans le système de notification de violation de 1Password, ajoutant qu’un employé a presque remis ses informations d’identification de Vault aux escrocs.
Le leurre était un e-mail informant que leur mot de passe maître avait été trouvé dans une violation de données, imitant une alerte familière de la fonction «Watchtower» de l’entreprise.
« Voler le connexion 1 Password de quelqu’un serait comme frapper le jackpot pour les cybercriminels, car ils exportent potentiellement toutes les connexions enregistrées que la cible stockée dans le gestionnaire de mots de passe », a déclaré Peter Arntz de MalwareBytes dans un article de blog.
L’analyse des incidents a révélé l’utilisation des indices de marque, de phrasé et d’urgence de 1Password, y compris des liens de support légitimes, menant au bouton «sécuriser mon compte maintenant» qui a atterri les victimes sur une page de vol d’identification sur un domaine typosquatté.
Imparfait mais un faux convaincant
Le faux e-mail est venu de «Watchtower @ huit ninety (.) Com», une adresse qui, à première vue, semblait authentique. Le lien intégré a même utilisé Mandrilapp, un service MailChimp souvent vu dans les e-mails d’entreprise authentiques, avant de rediriger les utilisateurs vers «OnePassword (.) Com», un domaine de look trompeur.
Ajoutant une couche de réalisme, le lien «Contactez-nous» acheminé vers la page de support réelle 1Password via la même redirection Mandrill. Le faux e-mail partagé par MalwareBytes affiche des messages d’alerte génériques comme «votre mot de passe de compte 1Password a été compromis» et «agissez immédiatement».
« Bien que la fonction Watchtower de 1Password puisse envoyer des alertes sur les mots de passe compromis, il le fait en vérifiant sa base de données de violations de données connues et en vous informant directement dans l’application 1Password ou via des e-mails très spécifiques sur la violation – et non en envoyant un message générique comme celui-ci », a averti Arntz.
Cependant, la ruse n’a pas duré longtemps. Le 2 octobre, le domaine malveillant avait été tagué comme phishing par plusieurs fournisseurs, et Mandrill a commencé à bloquer la redirection. Cliquer sur le bouton d’ici le 3 octobre n’a abouti à une erreur «mauvaise URL», au lieu d’une invite d’identification.
Bien que l’effort ait peut-être sauvé des centaines de milliers de victimes potentielles, on ne sait pas combien de personnes étaient déjà tombées dans le truc d’ici là, car une campagne similaire (probablement la même) a été précédemment rapportée par Hoax-Slayer.
Vault Keys en jeu
Ceux qui ont cliqué sur le lien de phishing plus tôt avaient trop à perdre. La page de destination clonée aurait demandé aux utilisateurs leurs détails de connexion 1 Password, donnant potentiellement aux attaquants accès à des voûtes de mot de passe entières. Avec cette seule violation, tout, des comptes sociaux aux informations d’identification bancaire, pourrait être compromis.
MalwareBytes a exhorté les utilisateurs à rester sceptiques quant aux alertes non sollicitées, en particulier celles qui exigent des réinitialisations de mot de passe immédiat. Face à de telles alertes, la décision la plus sûre consiste à ouvrir directement l’application 1Password ou à naviguer vers 1Password.com pour vérifier l’état du compte, a-t-il ajouté. Le leurre 1 Password fait partie d’une plus grande vague d’opérations de phishing plus intelligentes et plus propres. Des campagnes similaires ont récemment abusé de l’effondrement des liens par des services de sécurité URL pour cacher des redirectes malveillants et masquer les charges utiles derrière de faux captchas qui ont amené les utilisateurs à coller des commandes sur leurs systèmes.
