LastPass 用户身陷网络钓鱼骗局

持续的、高度复杂的网络钓鱼活动可能导致一些 LastPass 用户向黑客泄露了他们最重要的主密码。

密码管理器将用户的所有密码（Instagram、工作密码以及其他所有密码）存储在一个位置，并由一个“主”密码保护。它们使用户不必记住数百个帐户的凭据，并使他们能够为每个帐户使用更复杂、更独特的密码。另一方面，如果威胁行为者获得了主密码的访问权限，他们将拥有其中每个帐户的密钥。

进入CryptoChameleon，这是一款具有无与伦比的真实性的全新实用网络钓鱼工具包。

CryptoChameleon 攻击往往不会如此广泛，但它们的成功程度在整个网络犯罪世界中基本上是前所未见的，“这就是为什么我们通常会看到这种攻击针对企业和其他非常高价值的目标，”副总裁 David Richardson 解释道。 Lookout 的威胁情报最先识别并向 LastPass 报告了最新的活动。 “密码库是一个自然的扩展，因为你显然最终能够将其货币化。”

到目前为止，CryptoChameleon 已成功诱捕至少 8 位 LastPass 客户（但可能更多），可能会暴露他们的主密码。

CryptoChameleon简史
起初，CryptoChameleon 看起来就像任何其他网络钓鱼工具包一样。

它的运营商自去年年底就已经存在。一月份，他们开始瞄准加密货币交易所 Coinbase 和 Binance。这种最初的定位，加上其高度可定制的工具集，为其赢得了名称。

不过，情况在二月份发生了变化，当时他们注册了域名 fcc-okta[.]com，模仿了属于美国联邦通信委员会 (FCC) 的 Okta 单点登录 (SSO) 页面。理查森回忆道：“这突然使我们看到的众多消费者网络钓鱼工具包之一，变成了以企业为目标、追求企业凭证的工具。”

理查森向 Dark Reading 证实，FCC 员工受到了影响，但无法透露有多少次攻击或这些攻击是否给该机构带来了任何后果。他指出，这是一次复杂的攻击，他预计即使对训练有素的员工也能起作用。

CryptoChameleon 的问题不仅在于它的目标是谁，还在于它击败目标的能力如何。它的诀窍是与受害者进行彻底、耐心、实际的接触。

例如，考虑当前针对 LastPass 的活动。

窃取 LastPass 主密码
当客户接到 888 号码的电话时，一切就开始了。机器人呼叫者通知客户他们的帐户已从新设备访问。然后，它会提示他们按“1”以允许访问，或按“2”以阻止访问。按“2”后，他们被告知他们很快就会接到客户服务代表的电话，以便“关闭票证”。

然后电话打进来。接听者并不知道，这是一个欺骗性的号码。线路的另一端是一个活人，通常带有美国口音。其他加密变色龙受害者也报告称与英国特工进行了交谈。

“该代理拥有专业的呼叫中心沟通技巧，并提供真正好的建议，”理查森在与受害者的多次交谈中回忆道。 “因此，例如，他们可能会说：‘我希望你帮我记下这个支持电话号码。’他们让受害者写下他们所冒充的人的真实支持电话号码，然后他们给他们一个完整的教训：“只能用这个号码给我们打电话。”我收到一份受害者报告，他们实际上说，“出于质量和培训目的，这次通话正在录音。”他们正在使用完整的通话脚本，你能想到的一切都可以让人们相信他们现在真的在与这家公司通话。”

这个假定的支持代理通知用户他们将很快发送一封电子邮件，允许用户重置对其帐户的访问权限。事实上，这是一封包含缩短 URL 的恶意电子邮件，将他们引导至网络钓鱼网站。

当用户在山寨网站中输入主密码时，乐于助人的支持代理会实时监视。然后他们用它登录自己的帐户，并立即更改主要电话号码、电子邮件地址和主密码，从而将受害者永久锁定。

理查森说，“他们一直没有意识到这是一个骗局——我采访过的受害者都没有意识到。其中一个人说，‘我认为我从未在那里输入过我的主密码。’” [我告诉他们]‘你可能花了 23 分钟和这些人通电话。’”

主要危害
LastPass 在攻击中使用的可疑域名 help-lastpass[.]com 上线后不久就关闭了。不过，攻击者一直坚持使用新的 IP 地址继续进行活动。

通过了解攻击者的内部系统，理查森能够识别出至少八名受害者。他还提供了证据（Dark Reading 对此保密），表明可能不止于此。

当被问及更多信息时，LastPass 高级情报分析师 Mike Kosak 告诉 Dark Reading，“我们不会透露受此类活动影响的客户数量的详细信息，但我们支持任何可能成为此类活动和其他活动受害者的客户。我们鼓励人们通过滥用@LastPass.com 向我们举报潜在的网络钓鱼诈骗和其他冒充 LastPass 的邪恶活动。”

有防御吗？
由于 CryptoChameleon 攻击者会通过任何潜在的安全障碍（例如多因素身份验证 (MFA)）与受害者交谈，因此防御他们首先要提高意识。

“人们需要意识到攻击者可以欺骗电话号码——仅仅因为 800 或 888 号码给你打电话，并不意味着它是合法的，”理查森说，并补充说，“仅仅因为电话的另一端有一个美国人这条线也不意味着它是合法的。”

事实上，他说，“不要接听未知来电者的电话。我知道这是我们当今生活的世界的一个可悲的现实。”

然而，即使企业用户和消费者了解了所有的意识和预防措施，特别复杂的社会工程攻击仍然可能会成功。

“我采访过的一位 CryptoChameleon 受害者是一位退休的 IT 专业人士，”理查森回忆道。 “他说，‘我一生都在接受训练，以免陷入此类攻击。不知何故，我陷入了困境’。”