LastPass: furto di password con certificato di morte

Dopo quello di pochi giorni fa, LastPass ha rilevato altri attacchi di phishing contro il suo password manager. A partire da metà ottobre, il gruppo CryptoChamemelon cerca di ingannare gli utenti sfruttando la funzionalità che consente a persone di fiducia di accedere all’account.

Se non sei deceduto clicca sul link

Come si deduce dal nome, i cybercriminali di CryptoChamemelon sono specializzati nel furto di criptovalute. Ciò avviene attraverso attacchi di phishing, ingegneria sociale e siti fasulli simili a quelli legittimi di note piattaforme, tra cui Coinbase, Binance, Kraken e Gemini (gli URL contengono i nomi dei servizi per ingannare gli utenti).

In questo caso, l’obiettivo è rubare le credenziali dei wallet conservate in LastPass. L’attacco inizia con l’invio di email che sembrano arrivare dal supporto clienti. Nel testo è scritto che un membro della famiglia ha caricato un certificato di morte per accedere all’account.

LastPass permette infatti di scegliere una persona fidata in caso di morte o altro impedimento. Se il proprietario non risponde entro una determinata scadenza, il presunto “erede” accede all’account. Spinto quindi dall’urgenza, l’utente non presta attenzione all’indirizzo email del mittente e clicca sul link nel messaggio per cancellare la richiesta (dimostrando di essere ancora vivo).

Il link porta su un sito di phishing che sembra legittimo, i cui deve essere inserita la master password. In questo modo, i cybercriminali possono accedere a tutte le credenziali. In alcuni casi, la vittima viene contattata telefonicamente da un presunto supporto clienti che conferma l’urgenza e la necessità di inserire la master password.

LastPass ricorda agli utenti che non chiederà mai la master password. Chi riceve email, SMS o chiamate sospette non deve rispondere, ma contattare la software house per chiarimenti.