Los usuarios de LastPass están siendo atacados con una sofisticada campaña de phishing en la que los piratas informáticos buscan robar contraseñas maestras, lo que les otorgaría a los atacantes acceso a todas las demás contraseñas almacenadas en las bóvedas de LastPass.
El gestión de contraseñas La compañía dijo que había investigado informes de una nueva campaña de phishing y descubrió que se había agregado al kit de phishing CryptoChameleon.
Un kit de phishing es un conjunto de herramientas que ayuda a los ciberdelincuentes a crear una campaña de phishing: normalmente incluye un creador de páginas de destino, una herramienta de elaboración de correos electrónicos, medios de distribución de correos electrónicos, seguimiento y más.
Acortadores de URL y otras señales de alerta
En esta campaña en particular, los usuarios de LastPass primero recibirían una llamada telefónica automática, informándoles que había un inicio de sesión no reconocido en la cuenta del usuario y pidiéndoles que permitieran o bloquearan el acceso.
Si el usuario decide bloquear el acceso, recibirá una llamada de seguimiento de alguien que se hace pasar por un empleado de LastPass. Esta persona luego enviaría un correo electrónico de phishing con un enlace al sitio falso de LastPass. Allí, la víctima ingresaría su contraseña maestra, que sería transmitida a los atacantes. Momentos después, las víctimas quedaban excluidas de sus cuentas y perdían el acceso a todas las demás contraseñas.
Se recomienda a los usuarios de LastPass que tengan cuidado con las llamadas telefónicas, mensajes o correos electrónicos que afirman provenir de LastPass, especialmente si conllevan un sentido de urgencia y requieren que el usuario haga algo de inmediato. Casi siempre son maliciosos.
Algunos de los correos electrónicos de phishing que circulaban tenían «Estamos aquí para ayudarlo» en sus líneas de asunto y utilizaban un servicio de acortamiento de URL para los enlaces en el mensaje, para ocultar la dirección real a la que se redirigía a las víctimas. Dichos correos electrónicos deben informarse a abuso@lastpass.comdijo la empresa.
Como regla general, la contraseña maestra no debe compartirse con nadie, incluidos los empleados de LastPass.
A través de pitidocomputadora
