Пользователей LastPass атакуют фишинговыми письмами под видом техподдержки

Популярный менеджер паролей LastPass выпустил предупреждение о новой фишинговой кампании, которая началась 19 января. В рассылаемых письмах пользователям предлагается перейти по ссылке для создания резервной копии их хранилища паролей. Компания четко обозначила свою позицию: LastPass не рассылает подобные письма и никогда не запрашивает мастер-пароль.

В чем заключается схема обмана

Механизм мошенничества довольно прямолинеен. Пользователи LastPass получают электронные письма, в которых утверждается, что сервису предстоит плановое техническое обслуживание. В сообщениях содержится рекомендация создать резервную копию хранилища паролей «на случай маловероятных непредвиденных технических трудностей или расхождений в данных».

Для придания ситуации срочности злоумышленники предупреждают, что резервное копирование необходимо выполнить в течение ближайших 24 часов. Текст выглядит весьма убедительно и даже сопровождается списком инструкций.

Как и следовало ожидать, данные инструкции подразумевают переход по ссылке, где пользователю предлагается выбрать опцию экспорта хранилища. После клика по ссылке жертву просят ввести учетные данные, что немедленно приводит к компрометации хранилища.

Как распознать фишинговые письма

Пример письма, опубликованный LastPass, выглядит достаточно достоверно, что объясняет, почему многие пользователи попадаются на удочку мошенников. Однако существует надежный способ выявить попытку фишинга - проверка адреса электронной почты отправителя. Хотя тема письма и имя отправителя могут на первый взгляд не вызывать подозрения, наведение курсора на имя отправителя раскроет реальный адрес, после чего ситуация обычно проясняется.

Темы писем выглядят корректно, например: «Your Data, Your Protection: Create a Backup Before Maintenance» (Ваши данные, ваша защита: создайте резервную копию перед обслуживанием) или «Don&&񖔃t Miss Out: Backup Your Vault Before Maintenance» (Не пропустите: создайте резервную копию хранилища перед обслуживанием). Однако проверка отправителя выявляет следующие адреса:

• support@sr22vegas[.]com

• support@lastpass[.]server8

• support@lastpass[.]server7

• support@lastpass[.]server3

Очевидно, что любое официальное письмо от LastPass должно приходить с домена lastpass.com. Также выявить попытку фишинга можно, проверив адреса ссылок перед нажатием. LastPass поделился списком известных вредоносных доменов, связанных с данной схемой:

• «group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf»

• «mail-lastpass[.]com»

Ссылки в примере письма ведут на первый адрес из списка, который затем перенаправляет пользователя на второй. Безусловно, если при наведении на ссылку или кнопку вы видите URL-адрес назначения, который кажется хотя бы отдаленно подозрительным, нажимать на него не следует. При этом стоит отметить, что злоумышленники совершенствуют свои методы, и одной проверки URL-адреса может быть уже недостаточно.

В LastPass заявляют, что компания работает над удалением вредоносных доменов. Также представители сервиса напоминают: если вы не уверены в подлинности полученного письма, его можно отправить на адрес abuse@lastpass.com для проверки или жалобы.