Sajber kriminalci krenuli na korisnike LastPass-a: Evo kako pokušavaju da vas prevare
Kompanija LastPass upozorila je korisnike na novu fišing kampanju u kojoj napadači pokušavaju da ih prevare koristeći poruke koje izgledaju kao zvanična bezbednosna obaveštenja. Cilj ovih poruka je da korisnike navedu da posete lažne internet stranice koje mogu ugroziti njihove naloge i osetljive podatke. Stručnjaci upozoravaju da ovakvi napadi postaju sve uverljiviji i teži za prepoznavanje.
Napadači se predstavljaju kao legitimni pošiljaoci i koriste sadržaj koji podseća na korporativnu komunikaciju. U imejlovima se navode navodne promene pravila i uslova korišćenja usluge LastPass, čime pokušavaju da stvore osećaj hitnosti i navedu korisnike da reaguju bez razmišljanja. Upravo je stvaranje osećaja pritiska jedna od najčešćih taktika u fišing napadima.
Linkovi vode do lažnih poznatih servisa
Jedan od ključnih elemenata prevare je dugme „Review & Access Terms“, koje korisnike preusmerava na stranicu dizajniranu da izgleda kao servis DocuSign. Međutim, iza tog linka ne nalazi se pravi servis za elektronsko potpisivanje dokumenata, već lažna stranica napravljena isključivo za potrebe napada. Vizuelna sličnost sa originalnim servisom može lako dovesti korisnike u zabludu.
Korisnici koji kliknu na ove linkove mogu biti preusmereni na domene poput lastpasscompliance[.]com. Ove internet adrese nisu povezane sa kompanijom LastPass i bezbednosni sistemi ih označavaju kao zlonamerne. Napadači često registruju domene koji na prvi pogled izgledaju potpuno legitimno.
Pokušavaju da ostave utisak zvanične komunikacije
Prema informacijama kompanije LastPass, sporne poruke šalju se sa adrese hello@lastpassnewsletter.com i predstavljaju se kao obaveštenja o navodnim bezbednosnim unapređenjima. U sadržaju se pominju funkcije poput dodatnog nadzora SaaS servisa, mogućnosti promene glavne lozinke i poboljšanja administrativnih opcija. Sve je osmišljeno kako bi poruka izgledala što uverljivije.
LastPass naglašava da njegovi sistemi nisu kompromitovani i da poruke nisu poslate iz kompanijske infrastrukture. Napadači su samo iskoristili nazive domena i izgled poruka kako bi korisnike ubedili da komunikacija dolazi iz pouzdanog izvora. Kompanija ističe da je reč o pokušaju zloupotrebe njenog brenda, a ne o novom bezbednosnom incidentu.
Krađa pristupnih podataka ili širenja malvera
Kompanija nije potvrdila konačnu nameru napadača, ali dostupni detalji ukazuju na nekoliko mogućih scenarija. Lažne stranice nude preuzimanje fajlova za Windows i macOS uređaje, što može ukazivati na pokušaj krađe pristupnih podataka ili distribucije zlonamernog softvera. Upravo zbog toga stručnjaci savetuju da se ništa ne preuzima sa neproverenih internet stranica.
Bezbednosni istraživači primetili su i sličnu kampanju usmerenu na korisnike menadžera lozinki Bitwarden. U tom slučaju korišćeni su domeni poput bitwardencompliance[.]com, kao i poruke koje su oponašale zvanične komunikacije kompanije. To pokazuje da napadači koriste isti obrazac protiv više popularnih servisa.
Savet korisnicima da budu oprezni
Kompanija LastPass podseća korisnike da nikada neće tražiti glavnu lozinku putem imejla, obrazaca ili linkova poslatih u porukama. Korisnicima se preporučuje da ne otvaraju sumnjive linkove i da prijave svaku poruku koja deluje kao pokušaj prevare. Najsigurnije je da se nalogu pristupa isključivo preko zvanične internet stranice ili aplikacije.
Osobe koje su već unele podatke na sumnjivim stranicama trebalo bi što pre da promene glavnu lozinku koristeći pouzdan uređaj. Takođe se savetuje provera aktivnosti naloga i pregled trezora lozinki kako bi se uočile eventualne nepoznate izmene. Brza reakcija može značajno smanjiti rizik od zloupotrebe naloga.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.