Kamu LastPass emaillel lopnak jelszót a bűnözők
Az elmúlt napokban egy új, gyorsan terjedő phishing kampány vette célba a népszerű LastPass jelszókezelőt. Ez nem az első eset, hogy a cég támadás áltozata, hiszen korábban már több incidensben is érintett volt, erről korábban itt írtunk.
A mostani alkalommal azonban a támadók nem valamilyen szoftversebezhetőséget használtak ki, hanem a figyelmetlen felhasználókat.
Mielőtt jobban boncolgatnánk az esetet, picit álljunk meg és gondoljuk át, miért is lehet ez óriási veszély akár a te cégednek is?
Oké, mi is az a LastPass és miért támadják állandóan? Az alkalmazásról valószínűleg mindenki hallott már, aki kicsit is beleásta magát az IT-biztonság fortélyaiba. A LastPass főleg magánszemélyek körében népszerű, privát jelszókezelésre optimális rendszer… lenne, viszont népszerűsége és óriási felhasználóbázisa miatt a kiberbűnözők top célpontjává nőtte ki magát.
Ez is érdekelhet: vállalati vs privát jelszókezelők
A cégek ma már nem szeretik használni a LasstPass-t, mert nincs átlátható, központosított jelszókezelés, viszont számos szervezet életében akarva-akaratlanul jelen van, mert sok munkavállaló használja privát célokra. A gond ott kezdődik, hogy a privát jelszavak gyakran megegyeznek céges jelszavakkal, illetve összemosódik a céges és privát jelszókezelkés, továbbá a vállalat IT-Sec menedzsereinek nincs rálátása a privát jelszókezelőre.
Kis kitérőnk után kanyarodjunk is vissza a mostani esethez. Szóval igen, vannak azok a felhasználók, akik gyanakodnak, mindent kétszer megnéznek kattintás előtt.. És vannak azok, akiket túl könnyű átverni. Egyébként nem véletlenül, ma már a kiberbűnözők iszonyatosan precízek és képesek megszólalásig hasonló felületekkel, hírportálokkal, vagy akár email sablonokkal becsapni a jóhiszemű usereket.
Mi a mostani LastPass támadás lényege?
A csalók olyan e-maileket küldenek ki, amelyek – első látásra – a LastPass szolgáltatásától érkeznek. A szöveg azt állítja, hogy „ütemezett karbantartás” miatt sürgősen létre kell hoznod egy helyi biztonsági mentést (backupot) a jelszótrezorodról, még az elkövetkező 24 órán belül. Egyébként ki ne hinné el, amikor állandóan probléma van a LastPass-nál (a szerk.)?
Ez önmagában nem hangzik túlságosan gyanúsan: hát persze, hogy kellene biztonsági másolat, ugye? Pedig pont ez az a pont, ahol a támadás a legnagyobb kockázatot fedezi fel, hiszen a jelszókezelődből származó masterjelszó vagy biztonsági kulcs megszerzése gyakorlatilag az összes fiókod kulcsát adhatja át a rosszfiúknak.
Hogyan működik az adathalász csalás?
A gyanús e-mailek több olyan jellemzőt is használnak, amelyek elsőre legitimnek tűnhetnek:
- a tárgymezők „fontos biztonsági frissítésről” vagy „vault backupról” szólnak,
- a küldő e-mail címek úgy festenek, mint bármi, ami LastPass-szel kapcsolatos (pl. support@lastpass[.]server8 vagy support@sr22vegas[.]com),
- a szöveg sürgető, 24 órás határidőt ad meg.
Amikor a felhasználó rákattint a „Create Backup Now” gombra, elsőre még egy AWS-re mutató, legitim infrastruktúrának tűnő átirányítást lát, majd végül egy valóban hamis LastPass belépőoldalra kerül (mail-lastpass[.]com). Itt elkérik a mester jelszót. Miután a felhasználó ezt megadta, már el is lopták az összes jelszavát.
Adathalász email a LastPass nevében. Forrás: bleepingcomputer.com
Hogyan védd meg céged jelszavait?
A gyenge jelszavak és azok hanyag kezelése még ma is elterjedt a cégek életében. Nemrég egy híres angol, nagymúltú vállalat csődölt be emiatt. Csakhogy lássuk, mennyire valid a jelszavakkal foglalkozni (a szerk.).
Az ilyen és ehhez hasonló adathalász trükkök napi szintűek: hamis Meta Business értesítő, kamu Index cikk és sorolhatnám.
Ahogy a technológia fejlődik, a csalók is kreatívabb megoldásokat választanak. A legfontosabb, amit tehetsz, hogy edukáld a munkavállalókat! A támadások nem csak technikai hibákon alapulnak, hanem a pszichológiai manipuláción is.
Fel kell tudni ismerni a csalást, mert mindig van egy-egy apró árulkodó jel, legyen az egy gyanús email cím, túl sok helyesírási hiba és hasonlók.
Ha egy kollégád véletlenül mégis megadna egy mesterjelszót egy gyanús oldalon, azonnal módosítsa azt, ha még lehet…
Céges szinten pedig ne LastPass-t, Keepass-t, 1Password-öt használjatok, mert ezek nem erre lettek kifejlesztve. Olyan rendszerre van szükség, ahol a központosítiott jelszótárolás mellé többszintű jogosultságkezelés is párosul, illetve fontold meg a kulcsfontosságú funkciókat is, mint a többfaktoros hitelesítés, tevékenységnapló és videós visszajátszás (Session Recording).
Ha érdekel, hogyan tudnád biztonságosan megvédeni céged titkait, jelentkezz a lenti űrlapon és bemutatjuk a teljesen magyar fejlesztésű (és tulajdonú) PassMan céges jelszókezelőt, amiben olyan magyar cégek és szervezetek bíznak meg, mint az MVM, Merkantil Bank, vagy a Semmelweis Egyetem.
Kérj online bemutatót!
Foglalj egy rövid bemutatót és nézd meg, hogyan támogatja a PassMan a napi működést és a jogszabályi megfelelést.
