Usuarios de LastPass en Androide y otras plataformas son blanco de una campaña de phishing que combina llamadas falsas de servicio al cliente con correos electrónicos inteligentemente diseñados con la marca de la empresa para robar sus contraseñas maestras. Este ataque de múltiples capas explota tácticas de ingeniería social para engañar a las víctimas para que entreguen las claves de su bóveda de contraseñas, comprometiendo potencialmente todas sus cuentas en línea.
El esquema de phishing, recientemente revelado por LastPass, aprovecha un notorio kit de phishing conocido como CryptoChameleon. Este kit permite a los ciberdelincuentes crear fácilmente páginas de inicio de sesión falsas que imitan servicios legítimos, como LastPass, en un intento engañoso de robar credenciales de inicio de sesión.
Desde llamadas telefónicas engañosas hasta correos electrónicos falsos
El ataque se desarrolla en una serie de pasos calculados diseñados para crear pánico y presionar a las víctimas para que tomen decisiones precipitadas. El acto inicial implica una llamada telefónica, supuestamente del soporte de LastPass. La persona que llama informa a la víctima que se ha accedido a su cuenta desde un dispositivo no reconocido. Para aumentar la sensación de urgencia, la persona que llama Le indica a la víctima que presione un número específico. en el teclado de su teléfono. Esto es para permitir o bloquear el supuesto acceso no autorizado.
Puedes optar por bloquear el acceso. Pero la farsa continúa cuando la persona que llama promete una llamada de seguimiento de un “representante del cliente” para resolver el problema. Esta segunda llamada, sin embargo, proviene de un número falso que enmascara la verdadera identidad del atacante. Haciéndose pasar por un empleado legítimo de LastPass, el estafador envía un correo electrónico aparentemente oficial que contiene un enlace para «restablecer» su cuenta. La urgencia creada por las llamadas telefónicas, junto con el correo electrónico de aspecto oficial, puede engañar fácilmente incluso a los usuarios más expertos haciéndoles creer que su cuenta está realmente comprometida. Al hacer clic en el enlace del correo electrónico, la víctima accede a un sitio web de phishing inteligentemente diseñado: una réplica casi perfecta completa con la marca LastPass y la página de inicio de sesión. Sin darse cuenta del engaño, la víctima puede ingresar su contraseña maestra en un intento de recuperar el control de su cuenta.
Una vez que se ingresa la contraseña maestra en la página de inicio de sesión falsa, el atacante obtiene acceso completo a la bóveda de LastPass de la víctima. Esto les otorga la capacidad no solo de robar todos los nombres de usuario y contraseñas almacenados. Pero también puede cambiar información crítica de la cuenta, como direcciones de correo electrónico y números de teléfono. Con este nivel de acceso, los atacantes pueden secuestrar las cuentas en línea de la víctima, causar estragos financieros e incluso hacerse pasar por la víctima para atacar sus círculos sociales.
LastPass no es la única víctima de CryptoChameleon
CryptoChameleon se ha utilizado para apuntar a una gama más amplia de servicios en línea más allá de LastPass. Los investigadores de seguridad de Lookout descubrieron que las campañas de phishing que utilizan el kit plataformas populares suplantadas como Binance y Coinbase. Ni siquiera los gigantes de las redes sociales como X y Facebook se salvan. Esto indica una campaña más amplia por parte de ciberdelincuentes que apunta a robar credenciales de inicio de sesión en varios servicios en línea.
LastPass, al descubrir la campaña de phishing dirigida a sus usuarios, tomó medidas rápidas para mitigar el daño. La empresa ha eliminado el sitio web fraudulento utilizado por los atacantes para robar credenciales. Además, LastPass está informando activamente a su base de usuarios sobre el esquema de phishing, instándolos a tener cuidado con las llamadas, mensajes de texto y correos electrónicos sospechosos, incluidos aquellos con la marca oficial de la empresa.
La sombra de las violaciones del pasado cobra gran importancia
La reciente campaña de phishing dirigida a los usuarios de LastPass llega en un momento particularmente delicado para la empresa de gestión de contraseñas. LastPass reconoció enfrentarse un incidente de seguridad de datos en 2022, donde los piratas informáticos obtuvieron acceso a partes de los datos de sus clientes. Claro, LastPass afirmó que las contraseñas maestras permaneció seguro. Sin embargo, esta infracción anterior sin duda ha erosionado la confianza de los usuarios y ha aumentado la ansiedad en torno a la seguridad de sus contraseñas.
Para mantenerse seguro, LastPass enfatiza un punto crucial. Los representantes legítimos de atención al cliente nunca le pedirán su contraseña maestra. Si recibe una llamada, un mensaje de texto o un correo electrónico que dice ser de LastPass e insta a tomar una acción inmediata, especialmente uno que involucra su contraseña maestra, es una señal de alerta. No hagas clic en ningún enlace. Además, cuelgue el teléfono inmediatamente e informe la comunicación sospechosa directamente a LastPass en [email protected].
Recuerde, su contraseña maestra es la piedra angular de su seguridad en línea. Debe permanecer alerta y adoptar una buena dosis de escepticismo hacia la comunicación no solicitada. De esta manera, puede reducir significativamente el riesgo de ser víctima de estos astutos intentos de phishing.