LastPass alerte ses utilisateurs sur une nouvelle campagne de phishing. Les attaquants envoient des e-mails frauduleux prétendant qu'un membre de la famille du destinataire a soumis un certificat de décès pour accéder à son coffre-fort de mots de passe.
Bien entendu, le but ici est de déconcerter le destinataire du message en l'invitant à cliquer sur un lien pour stopper cette demande. Sans surprise, ce dernier redirige vers une page frauduleuse réclamant le mot de passe maître.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Les hackers détournent le système de récupération de compte
Cette campagne de phishing a été mise en place par le groupe CryptoChameleon, également connu sous le nom d'UNC5356. Ces derniers ciblent principalement les utilisateurs de cryptomonnaies. Dans le cas présent, ils exploitent la fonction d'accès d'urgence de LastPass. Lorsqu'un membre de la famille contacte l'entreprise LastPass en l'informant du décès d'un proche, ce dernier doit fournir un certificat officiel. De son côté, la société procède en parallèle à une vérification en envoyant un email à ce proche.
Les hackers ont usurpé l'adresse alerts@lastpass.com et affichent un objet alarmant : "Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)" - Demande d'accès héritage ouverte (URGENT SI VOUS N'ÊTES PAS DÉCÉDÉ). Ils ont aussi falsifié le corps du message avec des informations fabriquées pour paraître authentiques, notamment un numéro d'agent attribué au dossier, une date d'ouverture et un niveau de priorité.
Pour mettre fin à cette fausse procédure et témoigner qu'elle n'est pas décédée, la victime était invitée à se rendre sur lastpassrecovery.com, un site frauduleux imitant l'interface de LastPass. Sur cette page, on leur demandait de saisir le mot de passe maître. Les attaquants sont même allés jusqu'à compléter leur approche par des appels téléphoniques, se faisant passer pour des représentants de LastPass et pressant les utilisateurs de se rendre sur le site frauduleux. L'objectif des cybercriminels est clair : récupérer les identifiants du gestionnaire de mots de passe pour obtenir un accès complet à tous les identifiants stockés dans le coffre-fort de la victime… et donc potentiellement à ceux de leur crypto-wallet.
LastPass explique qu'au-delà des mots de passe, les hackers suivent la tendance et tentent désormais de récupérer les passkeys. Plusieurs sites de phishing, notamment des variantes de mypasskey.info, ont été créés spécifiquement pour cibler ces nouvelles méthodes d'authentification. Les attaquants cherchent à tromper les utilisateurs pour qu'ils enregistrent de nouvelles clés d'accès sur des sites malveillants, approuvent des synchronisations frauduleuses ou désactivent leurs passkeys pour revenir à des méthodes d'authentification moins sécurisées.
L'éditeur explique : "Nous avons déployé des efforts importants pour interrompre cette campagne de phishing et faire retirer le site initial. Nous partageons ces informations afin que nos clients soient informés de ces tactiques et puissent réagir de manière appropriée s’ils reçoivent un appel, SMS ou e-mail suspect." L'entreprise invite les utilisateurs à signaler tout courriel, SMS ou appel suspect à abuse@lastpass.com.
