10 月 25 日消息,科技媒体 bleepingcomputer 昨日(10 月 24 日)发布博文,报道称密码管理器 LastPass 已示警其用户,警惕由黑客组织 CryptoChameleon 发起的新型网络钓鱼攻击。
该媒体指出该攻击最早追溯到 10 月中旬,攻击者利用了 LastPass 的“遗产继承”(Emergency Access)功能,向用户发送邮件,谎称用户的某位家人已上传死亡证明,请求访问其密码库。
为了增加可信度,邮件中甚至包含一个伪造的代理 ID 号,并诱导收件人若本人尚在,则需点击链接取消该请求,从而引诱用户落入陷阱。
用户一旦点击邮件中的链接,就会被重定向到一个名为 lastpassrecovery [.] com 的欺诈性网站。该网站完美仿冒了 LastPass 的官方登录页面,要求用户输入自己的主密码。一旦用户输入并提交,其主密码便会被攻击者窃取,整个密码库将面临泄露风险。
LastPass 还指出,在某些案例中,攻击者甚至会主动致电受害者,冒充 LastPass 员工,通过电话引导用户在钓鱼网站上输入凭据,实施双重欺骗。
与今年 4 月该组织发起的攻击相比,此次活动不仅范围更广,技术也更为先进。一个关键的升级是,攻击者的目标已从传统密码扩展到了“通行密钥”(Passkeys)。
LastPass 发现,CryptoChameleon 使用了如 mypasskey [.] info 和 passkeysetup [.] com 等专门针对通行密钥的钓鱼域名。这表明,随着主流密码管理器开始支持并同步通行密钥,黑客也已迅速调整策略,开始直接攻击这种被认为是更安全的无密码认证技术。
援引博文介绍,执行此次攻击的 CryptoChameleon(又名 UNC5356)是一个以经济利益为驱动的威胁组织,其专长是利用钓鱼工具包窃取加密货币。该组织曾通过伪造 Okta、Gmail、iCloud 等知名服务的登录页面,成功攻击过币安(Binance)、Coinbase 等多个加密货币平台的用户。