Les utilisateurs de LastPass ciblés par des attaques de phishing suffisamment efficaces pour tromper même les plus avertis

Les utilisateurs du gestionnaire de mots de passe LastPass ont récemment été ciblés par une campagne de phishing convaincante utilisant une combinaison d’e-mails, de SMS et d’appels vocaux pour inciter les cibles à divulguer leurs mots de passe principaux, ont déclaré des responsables de l’entreprise.

Les attaquants ont utilisé un kit avancé de phishing en tant que service découvert en février par des chercheurs de la société de sécurité mobile Lookout. Surnommé CryptoChameleon pour sa concentration sur les comptes de crypto-monnaie, le kit fournit toutes les ressources nécessaires pour tromper même les personnes relativement averties en leur faisant croire que les communications sont légitimes. Les éléments incluent des URL de haute qualité, une page d’authentification unique contrefaite pour le service utilisé par la cible et tout le nécessaire pour passer des appels vocaux ou envoyer des e-mails ou des SMS en temps réel lorsque les cibles visitent un faux site. Le service de bout en bout peut également contourner l’authentification multifacteur dans le cas où une cible utilise la protection.

LastPass dans la ligne de mire

Lookout a déclaré que LastPass était l’un des dizaines de services ou sites sensibles que CryptoChameleon était configuré pour usurper. Parmi les autres cibles figurent la Federal Communications Commission, Coinbase et d’autres bourses de crypto-monnaie, ainsi que les services de messagerie électronique, de gestion des mots de passe et d’authentification unique, notamment Okta, iCloud et Outlook. Lorsque les chercheurs de Lookout ont accédé à une base de données utilisée par un abonné de CryptoChameleon, ils ont constaté qu’un pourcentage élevé du contenu collecté dans les escroqueries semblait être des adresses e-mail légitimes, des mots de passe, des jetons de mot de passe à usage unique, des URL de réinitialisation de mot de passe et des photos de permis de conduire. En règle générale, ces bases de données sont remplies d’entrées indésirables.

Les responsables de LastPass ont déclaré jeudi que les acteurs malveillants avaient récemment utilisé CryptoChameleon pour cibler les utilisateurs du gestionnaire de mots de passe. Ils ont déclaré que les tactiques utilisées lors de la campagne étaient les suivantes :

• Le client reçoit un appel d’un numéro 888 affirmant que son compte LastPass a été accédé à partir d’un nouvel appareil et lui demandant d’appuyer sur « 1 » pour autoriser l’accès ou sur « 2 » pour le bloquer.
• Si le destinataire appuie sur « 2 », il est informé qu’il recevra sous peu un appel d’un représentant client pour « clôturer le ticket ».
• Le destinataire reçoit ensuite un deuxième appel provenant d’un numéro de téléphone usurpé et l’appelant s’identifie comme un employé de LastPass. Cet individu a généralement un accent américain. L’appelant enverra au destinataire un e-mail qui, selon lui, lui permettra de réinitialiser l’accès à son compte. Il s’agira en fait d’un email de phishing avec une URL raccourcie qui les renverra vers la page « help-lastpass ».[.]com » conçu pour voler les informations d’identification de l’utilisateur.
• Si le destinataire saisit son mot de passe principal sur le site de phishing, l’acteur malveillant tente de se connecter au compte LastPass et de modifier les paramètres du compte pour verrouiller l’utilisateur authentique et prendre le contrôle du compte. Ces modifications peuvent inclure la modification du numéro de téléphone principal et de l’adresse e-mail ainsi que du mot de passe principal lui-même.

La campagne ciblait activement les clients LastPass les 15 et 16 avril, a déclaré un représentant de l’entreprise dans un e-mail. LastPass a fait fermer le site frauduleux le 16 avril.

La campagne est la dernière à cibler LastPass. En août 2022, LastPass a révélé qu’il s’agissait de l’une des douzaines de cibles touchées lors d’une attaque en série menée par un seul acteur malveillant ingénieux. En décembre, LastPass a déclaré que la violation avait conduit au vol de données, notamment des coffres-forts de mots de passe des utilisateurs et des mots de passe cryptographiquement hachés qui les protégeaient. Au début de l’année dernière, LastPass a révélé une violation réussie de l’ordinateur personnel d’un employé et d’un coffre-fort d’entreprise qui y était stocké.

LastPass a continué d’être ciblé cette année. Une application frauduleuse usurpant celle de LastPass a été supprimée de l’App Store. La semaine dernière, LastPass a déclaré qu’un de ses employés avait été ciblé par un appel audio deepfake visant à usurper la voix du PDG de l’entreprise, Karim Toubba.

On dirait la vraie chose

D’autres fonctionnalités avancées offertes par CryptoChameleon incluent une page captcha, une nouvelle offre qui empêche les outils d’analyse automatisés utilisés par les chercheurs et les forces de l’ordre d’explorer le Web et d’identifier les sites de phishing. Le captcha peut également rendre la page plus convaincante pour les cibles.

Une autre fonctionnalité est une console d’administration que les opérateurs peuvent utiliser en temps réel pour surveiller les visites sur un site usurpé. Dans le cas où une cible saisit ses informations d’identification, l’opérateur peut choisir parmi une liste d’options la manière de répondre.

« L’attaquant tente probablement de se connecter à l’aide de ces informations d’identification en temps réel, puis redirige la victime vers la page appropriée en fonction des informations supplémentaires demandées par le service MFA auquel l’attaquant tente d’accéder », ont écrit les chercheurs de Lookout dans le message de février. « Par exemple, ils peuvent être redirigés vers une page qui demande leur jeton MFA depuis leur application d’authentification ou une page demandant un jeton par SMS. »

Les attaquants peuvent également répondre en utilisant des appels vocaux. Lookout a observé un acteur malveillant encourageant une cible par téléphone à suivre les étapes nécessaires à la compromission du compte. Les chercheurs de Targets Lookout ont décrit les voix comme étant « américaines », « bien parlées » et possédant « des compétences professionnelles en centre d’appels ».

Les journaux trouvés par Lookout ont montré que la majorité des données de connexion collectées provenaient d’appareils iOS et Android, ce qui indique que les attaques ciblent principalement les appareils mobiles. La plupart des victimes se trouvaient aux États-Unis.

Pour éviter que ce type d’escroquerie ne réussisse, les gens doivent se rappeler que les appels téléphoniques entrants peuvent facilement être usurpés pour donner l’impression qu’ils proviennent de n’importe où. Lorsqu’elles reçoivent un appel ou un SMS prétendant provenir d’un service, les personnes qui les reçoivent doivent toujours mettre fin à l’appel et contacter directement le service en utilisant son adresse e-mail officielle, son site Web ou son numéro de téléphone.

Plus généralement, les entreprises et les utilisateurs finaux doivent toujours utiliser l’authentification multifacteur pour verrouiller les comptes lorsque cela est possible et garantir qu’elle est conforme à la norme FIDO lorsqu’elle est disponible. L’authentification multifacteur disponible via des notifications push ou des mots de passe à usage unique fournis par SMS, e-mail ou applications d’authentification est mieux que rien, mais comme les événements de ces dernières années l’ont démontré, ils sont eux-mêmes facilement vaincus lors d’attaques de phishing d’informations d’identification.