Lastpass warnt vor überzeugender Phishing-Kampagne
In den USA treiben es Kriminelle auf die Spitze und versuchen sehr überzeugend, Lastpass-Nutzern das Masterpasswort abzuluchsen.
Lastpass warnt vor einer aktuellen Phishing-Masche.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
CryptoChameleon ist der Name des Phishing-Kits, mit dem Kriminelle aktuell Lastpass-Nutzer und -Nutzerinnen ins Visier nehmen. Eine offenbar sehr überzeugende Phishing-Masche damit soll potenzielle Opfer zur Preisgabe ihres Masterpassworts bringen.
In einem Blog-Beitrag warnt Lastpass nun vor dieser Phishing-Kampagne. Mit CryptoChameleon würden auch weitere Dienste wie Krypto-Wallets und -Börsen, Single-Sign-on-Dienste und E-Mail-Anbieter angegriffen, wie die IT-Sicherheitsforscher von Lookout berichten. Konkret verbarg sich hinter der Webseite help-lastpass[.]com solch eine Falle.
Mehrstufige Phishing-Kampagne auf Lastpass-Nutzer
Das Phishing-as-a-service-Angebot ermögliche den Angreifern, einfach Single-Sign-On- oder Anmeldeseiten zu fälschen und mit den zugehörigen Markenzeichen wie Markenlogos und -grafiken auszustatten. Damit versuchen sie, Zugangsdaten von Opfern zu erbeuten, die sie entweder direkt selbst nutzen oder weiterverkaufen können. Die Opfer werden mittels Phishing-Mails, SMS-Nachrichten (Smishing) oder Telefonanrufen (Vishing) auf die falschen Seiten gelotst.
Die betreffende Webseite sei zunächst geparkt worden, woraufhin Lastpass sie unter Beobachtung gestellt hat, ob sie online geht und eine Phishing-Seite, die der von Lastpass ähnelt, oder Ähnliches ausliefert. Als die Seite online ging, habe das Unternehmen mit seinem Anbieter zusammengearbeitet und die Site vom Netz genommen.
Bei der Phishing-Kampagne konnte Lastpass beobachten, dass Kunden Anrufe von einer Nummer erhielten, die mit 888 startet – so fangen in den USA kostenlose Rufnummern an, vergleichbar mit der hiesigen 0800-Vorwahl. Die Anrufer behaupteten, dass auf das Konto von einem weiteren Gerät zugegriffen wurde und das Drücken der "1" den Zugriff erlaube und die "2" ihn blockiere. Sofern ein Opfer die "2" gewählt hat, erhielt es die Ansage, dass in Kürze ein Anruf von einem Kundendienstmitarbeiter zum Schließen des Tickets erfolgt.
Das Opfer erhält dann von einer gefälschten Rufnummer einen Anruf von jemandem, der sich als Lastpass-Mitarbeiter ausgibt. Typischerweise habe er einen US-amerikanischen Akzent. Der Anrufer schickt dem Empfänger eine E-Mail, die behauptet, das Passwort auf das Konto zurückzusetzen. Tatsächlich handelt es sich jedoch um eine mit URL-Shortener verkürzte und verschlüsselte Adresse, help-lastpass[.]com. Die war darauf ausgelegt, die Zugangsdaten zu stehlen.
Sobald Empfänger ihr Masterpasswort eingeben, versuchen die Täter, sich in den Lastpass-Account einzuloggen und die Einstellungen zu ändern, um den regulären Besitzer aus dem Konto auszuschließen. Dazu gehört etwa das Ändern von Telefonnummer und E-Mail-Adresse sowie des Masterpassworts selbst.
Phishing-Welle noch am Rollen
Die Phishing-Welle sei trotz der Maßnahmen gegen die oben genannte URL weiter am Laufen, erklärt Lastpass. Nutzer sollten sich daher schützen, indem sie etwa bei verdächtigen Anrufen direkt auflegen und anschließend eine E-Mail mit Detailinformationen an abuse@lastpass.com senden. Dorthin sollten sie auch Screenshots von verdächtigen Textnachrichten schicken oder potenziell bösartige E-Mails mit Anhang weiterleiten. Lastpass weist darauf hin, dass das Unternehmen niemals nach dem Masterpasswort frage.
Lastpass-Nutzer stehen immer wieder im Fokus von Cyberkriminellen. Bei derartigen E-Mails oder SMS sollten auch Nutzer und Nutzerinnen im DACH-Raum aufmerksam prüfen, ob sie echt sind.
Lastpass hat Anfang des Jahres Empfehlungen ausgesprochen, die die Sicherheit von Nutzern und Nutzerinnen erhöhen sollen. Dazu gehören längere Masterpasswörter, die Dark-Web-Überprüfung sowie der Neustart von Multi-Faktor-Authentifizierung (MFA). Im vorvergangenen Jahr hatten Angreifer bei einem Einbruch bei Lastpass unter anderem MFA-Schlüssel kopiert.
(dmk)