- 攻撃者は偽のニュースレタードメインからのフィッシングメールでLastPassとBitwardenになりすまし、ユーザーを騙して偽のDocuSign文書に署名させようとしています
- 被害者はMicrosoft DefenderとCloudflareによって既に危険と判定され、オフラインにされた悪意ある「コンプライアンス」ドメインへ誘導されます
- いずれのパスワード管理サービスも侵害されておらず、これはドメインなりすましによるものです。ユーザーはリンクをクリックする前に送信者のアドレスとドメインを確認するよう呼びかけられています
犯罪者が人気のパスワード管理サービスであるLastPassとBitwardenになりすまし、ユーザーを騙してログイン認証情報を入手しようとする手口が確認されました。これにより、パスワードなどの重要な情報の宝庫へのアクセスを狙っているとみられます。
LastPassは最近、このフィッシングキャンペーンについて顧客に注意を呼びかける警告を発しました。
しかし、この詐欺は他のパスワード管理サービスにも広がっているようで、Bitwardenの顧客も標的にされていることが明らかになっています。
パスワードは安全
このキャンペーンでは、LastPassのユーザーは「[email protected]」というアドレスからメールを受け取っていました。
このアドレスはLastPassのものではなく、同社のパスワード管理サービスとは一切関係がありません。メールの中で被害者は、同社のセキュリティポリシーが更新されたと告げられ、特定のランディングページにアクセスしてDocuSign文書に署名するよう求められます。
メールには「Review & Access Terms」というボタンが付いており、クリックすると被害者はlastpasscompliance[dot]comという、このパスワード管理プラットフォームとは無関係の別のドメインへリダイレクトされます。
BleepingComputerによると、このドメインはMicrosoft Defender for Office 365とCloudflareの両方によって既に悪意あるものと判定されており、現在オフラインになっているとのことです。
さらに詳しく調べたところ、記者らはほぼ同一の別のキャンペーンを発見しました。こちらはBitwardenのユーザーを標的にしたもので、被害者は「[email protected]」というアドレスからメールを受け取り、bitwardencompliance[dot]comへリダイレクトされていました。手口はまったく同じで、対象に合わせて少し手が加えられているだけです。
今回の攻撃において、LastPassとBitwardenのいずれも侵害されていない点は重要です。
両社のインフラは無傷であり、パスワードは安全です。これは典型的なドメインなりすまし攻撃で、犯罪者が正規のものによく似たドメインを購入し、被害者がその違いに気づかないことを狙うものです。
いつものことですが、最善の対策は受信したメールに対して常に懐疑的な姿勢を持ち、送信元のドメインやメールアドレスを必ず再確認することです。また、これらのメールを本物と確認済みの過去のメッセージと照らし合わせ、ドメインやアドレスが一致するかどうかを確認するのも良い方法です。