imágenes falsas
Los usuarios del administrador de contraseñas LastPass fueron recientemente atacados por una convincente campaña de phishing que utilizó una combinación de correo electrónico, SMS y llamadas de voz para engañar a los objetivos para que divulgaran sus contraseñas maestras, dijeron funcionarios de la compañía.
Los atacantes utilizaron un kit avanzado de phishing como servicio descubierto en febrero por investigadores de la firma de seguridad móvil Lookout. Apodado CryptoChameleon por su enfoque en cuentas de criptomonedas, el kit proporciona todos los recursos necesarios para engañar incluso a personas relativamente inteligentes haciéndoles creer que las comunicaciones son legítimas. Los elementos incluyen URL de alta calidad, una página de inicio de sesión única falsificada para el servicio que utiliza el objetivo y todo lo necesario para realizar llamadas de voz o enviar correos electrónicos o mensajes de texto en tiempo real mientras los objetivos visitan un sitio falso. El servicio de extremo a extremo también puede omitir la autenticación multifactor en caso de que un objetivo esté utilizando la protección.
LastPass en la mira
Lookout dijo que LastPass era uno de las docenas de servicios o sitios confidenciales que CryptoChameleon estaba configurado para falsificar. Otros objetivos fueron la Comisión Federal de Comunicaciones, Coinbase y otros intercambios de criptomonedas, y servicios de correo electrónico, administración de contraseñas y inicio de sesión único, incluidos Okta, iCloud y Outlook. Cuando los investigadores de Lookout accedieron a una base de datos utilizada por un suscriptor de CryptoChameleon, descubrieron que un alto porcentaje de los contenidos recopilados en las estafas parecían ser direcciones de correo electrónico, contraseñas, tokens de contraseña de un solo uso, URL para restablecer contraseñas y fotografías de licencias de conducir legítimas. Normalmente, estas bases de datos están llenas de entradas basura.
Los funcionarios de LastPass dijeron el jueves que los actores de amenazas utilizaron recientemente CryptoChameleon para atacar a los usuarios del administrador de contraseñas. Dijeron que las tácticas utilizadas en la campaña fueron:
- El cliente recibe una llamada de un número 888 que afirma que se ha accedido a su cuenta LastPass desde un nuevo dispositivo y le indica que presione «1» para permitir el acceso o «2» para bloquearlo.
- Si el destinatario presiona «2», se le dice que recibirá una llamada en breve de un representante del cliente para «cerrar el ticket».
- Luego, el destinatario recibe una segunda llamada de un número de teléfono falso y la persona que llama se identifica como un empleado de LastPass. Este individuo suele tener acento americano. La persona que llama enviará al destinatario un correo electrónico que, según afirma, le permitirá restablecer el acceso a su cuenta. En realidad, será un correo electrónico de phishing con una URL abreviada que los enviará al directorio «help-lastpass».[.]com” sitio diseñado para robar las credenciales del usuario.
- Si el destinatario ingresa su contraseña maestra en el sitio de phishing, el actor de amenazas intenta iniciar sesión en la cuenta de LastPass y cambiar la configuración dentro de la cuenta para bloquear al usuario auténtico y tomar el control de la cuenta. Estos cambios pueden incluir el cambio del número de teléfono principal y la dirección de correo electrónico, así como la propia contraseña maestra.
La campaña se dirigió activamente a los clientes de LastPass los días 15 y 16 de abril, dijo un representante de la compañía en un correo electrónico. LastPass eliminó el sitio fraudulento el 16 de abril.
La campaña es la última dirigida a LastPass. En agosto de 2022, LastPass reveló que era uno de aproximadamente una docena de objetivos alcanzados en un ataque en serie por parte de un único actor de amenazas ingenioso. En diciembre, LastPass dijo que la violación condujo al robo de datos, incluidas las bóvedas de contraseñas de los usuarios y las contraseñas cifradas criptográficamente que las protegían. A principios del año pasado, LastPass reveló una violación exitosa de la computadora personal de un empleado y de una bóveda corporativa que estaba almacenada en ella.
LastPass ha seguido siendo el objetivo este año. Se eliminó de la App Store una aplicación fraudulenta que suplantaba la de LastPass. La semana pasada, LastPass dijo que uno de sus empleados fue blanco de una llamada de audio falsa diseñada para falsificar la voz del director ejecutivo de la empresa, Karim Toubba.
Se siente como algo real
Otras características avanzadas ofrecidas por CryptoChameleon incluyen una página captcha, una oferta novedosa que evita que las herramientas de análisis automatizadas utilizadas por investigadores y autoridades rastreen la Web e identifiquen sitios de phishing. El captcha también puede hacer que la página parezca más convincente para los objetivos.
Otra característica es una consola administrativa que los operadores pueden usar en tiempo real para monitorear las visitas a un sitio falsificado. En caso de que un objetivo ingrese sus credenciales, el operador puede seleccionar de una lista de opciones cómo responder.
«Es probable que el atacante intente iniciar sesión utilizando estas credenciales en tiempo real, luego redirige a la víctima a la página apropiada dependiendo de la información adicional solicitada por el servicio MFA al que el atacante intenta acceder», escribieron los investigadores de Lookout en la publicación de febrero. «Por ejemplo, pueden ser redirigidos a una página que solicite su token MFA desde su aplicación de autenticación o a una página que solicite un token basado en SMS».
Los atacantes también pueden responder mediante llamadas de voz. Lookout observó a un actor de amenazas animando a un objetivo por teléfono a completar los pasos necesarios para comprometer la cuenta. Los investigadores de Targets Lookout con los que hablaron describieron las voces como «estadounidenses», «bien habladas» y con «habilidades profesionales de centro de llamadas».
-
Una página que suplanta a la FCC.
Estar atento
-
Una página que falsifica el inicio de sesión único de Coinbase.
Los registros que encontró Lookout mostraron que la mayoría de los datos de inicio de sesión recopilados provenían de dispositivos iOS y Android, una indicación de que los ataques se dirigen principalmente a dispositivos móviles. La mayoría de las víctimas se encontraban en Estados Unidos.
Para evitar que este tipo de estafas tengan éxito, las personas deben recordar que las llamadas telefónicas entrantes pueden falsificarse fácilmente para que parezcan provenir de cualquier lugar. Al recibir una llamada o un SMS que dice provenir de un servicio, las personas que lo reciben siempre deben finalizar la llamada y comunicarse con el servicio directamente utilizando su dirección de correo electrónico oficial, sitio web o número de teléfono.
En términos más generales, las empresas y los usuarios finales siempre deben utilizar la autenticación multifactor para bloquear las cuentas cuando sea posible y garantizar que cumpla con el estándar FIDO cuando esté disponible. La MFA disponible a través de notificaciones automáticas o contraseñas de un solo uso proporcionadas por mensajes de texto, correo electrónico o aplicaciones de autenticación es mejor que nada, pero como lo han demostrado los acontecimientos de los últimos años, son fácilmente derrotadas en ataques de phishing de credenciales.