LastPass, campagna di phishing ai danni degli utenti, con chiamate, SMS ed email

Gli utenti di LastPass, il popolare servizio di gestione delle password, sono stati presi di mira da un'insidiosa campagna di phishing che sfruttando una combinazione di e-mail, SMS e chiamate vocali cerca di indurre le vittime a divulgare le loro master password.

Si tratta di un attacco che viene condotto utilizzando un sofisticato kit di phishing-as-a-service noto come CryptoChameleon, scoperto a febbraio dai ricercatori della società di sicurezza mobile Lookout. Il kit CryptoChameleon mette a disposizione un completo arsenale di strumenti avanzati progettati per ingannare anche gli utenti relativamente esperti, facendo loro credere che le comunicazioni provengano da fonti legittime.

Tra gli elementi su cui possono contare gli utilizzatori di CryptoChameleon vi sono URL di alta qualità, una pagina single sign-on contraffatta per il servizio utilizzato dalla vittima, nonché la capacità di effettuare chiamate vocali o inviare e-mail e SMS in tempo reale mentre le vittime stanno visitando un sito fasullo. CryptoChameleon è persino in grado di aggirare l'autenticazione a più fattori nel caso in cui un bersaglio utilizzi questa protezione.

L'analisi di Lookout ha mostrato che LastPass è risultato essere solamente uno dei vari servizi od obiettivi sensibili che CryptoChameleon può prendere di mira. Tra gli altri vi sono realtà piuttosto note e di alto profilo, come la Federal Communications Commission, Coinbase ed altri servizi di cambio di criptovalute, diversi servizi di posta elettronica, altri servizi di gestione delle password e servizi single sign-on come Okta, iCloud e Outlook.

Quanto a LastPass, l'attacco si è consumato nei giorni 15 e 16 aprile, con uno schema particolarmente ingegnoso. La vittima riceve infatti una chiamata telefonica da un numero con prefisso 888, e viene avvertita di un tentativo di accesso all'account LastPass da un dispositivo sconosciuto con la richiesta di premere "1" per consentirlo e "2" per bloccarlo. Se la vittima preme il tasto "2", viene avvisata che a breve riceverà una chiamata da un addetto del supporto clienti per "chiudere il ticket".

A questo punto la vittima riceve un'altra chiamata da un numero di telefono fasullo da parte di una persona che si qualifica come impiegato di LastPass e che avvisa la vittima che le verrà inviata a breve una mail per consentire il reset del loro account. Si tratta ovviamente di un'email di phishing contenente un URL abbreviato che porta l'utente al sito "help-lastpass[.]com progettato appositamente per il furto delle credenziali. Se la vittima inserisce la sua master password nel sito, l'aggressore tenta repentinamente di accedere all'account LastPass per modificare le impostazioni dell'account, modificare la password e gli altri dettagli di contatto, tagliando fuori il legittimo proprietario e prendendo così il controllo dell'account.

LastPass è riuscita a ottenere la messa offline del sito fasullo nel corso della giornata del 16 aprile. L'analisi di Lookout ha mostrato che la maggior parte dei dati di accesso che l'attacco ha permesso di raccogliere provenivano da dispositivi iOS e Android, segnalando quindi una particolare attenzione verso i dispositivi mobile, con la maggior parte delle vittime situate negli Stati Uniti. Ciò non toglie che la vicenda possa rappresentare un esempio delle modalità utilizzate oggi dagli attori di minaccia per ottenere ciò che desiderano.

Per difendersi da questo genere di truffe è essenziale ricordare che oggi le telefonate possono essere falsificate in maniera piuttosto semplice perché appaiano provenire da qualsiasi contatto. E' inoltre opportuno tenere presente che i servizi clienti normalmente non contattano proattivamente gli utenti del servizio richiedendo credenziali di accesso con senso di urgenza. Quando si riceve una telefonata di questo genere la cosa migliore da fare è chiudere la comunicazione e richiamare il servizio clienti tramite i contatti ufficiali.

Nelle scorse settimane LastPass è stata obiettivo di un altro tentativo di phishing, questa volta ai danni di un dipendente che è stato contattato da qualcuno che ha cercato di impersonare, anche tramite messaggi vocali, il CEO della società Karim Toubba. Fortunatamente il tutto si è risolto senza alcuna conseguenza: ne abbiamo parlato in questa notizia.