- フィッシングメールが被害者の死亡を装い、LastPassのマスターパスワードを盗もうとする
- 偽サイト lastpassrecovery[.]com がLastPassを模倣し、認証情報やパスキーを収集
- 攻撃の背後にはCryptoChameleonグループ、標的は暗号ウォレットやパスワードレスログイン
詐欺師たちは、ユーザーが死亡したとする巧妙なフィッシングメールの手口で、LastPassのマスターパスワードを入手しようとしています。
このパスワードマネージャーには継承機能があり、アカウント所有者が亡くなったことを証明し、かつ最も近い親族(またはアクセス権が認められた人物)であることを証明できれば、LastPassはアカウントを引き渡すことができます。
しかし、フィッシングメールでは、被害者に対し「あなたが亡くなったことを証明する死亡証明書がアップロードされた」と伝え、迅速に対応しなければ相手にあなたのVault(暗号化されたパスワード保管データベース)のアクセス権が与えられると脅します。
CryptoChameleon
「迅速な対応」とは、リンクをクリックしてLastPassアカウントにログインすることを意味します。しかし、急いで対応した人は、ログインしているサイトがLastPassではなく、lastpassrecovery[.]comという偽のランディングページであり、騙されやすい人々のログイン情報を収集するためだけに作られていることに気づきません。
この不気味なキャンペーンの背後にいる脅威アクターはCryptoChameleonと呼ばれ、暗号資産の窃盗を専門とするハッカー集団として知られています。
過去には、このグループがBinanceウォレット、Kraken、Gemini、その他のプラットフォームを、偽のOkta、Gmail、iCloud、Outlookのサインインページやパスキーを使って標的にしていたことが確認されています。
パスキーは、公開鍵暗号方式を利用して本人確認を行うパスワード不要の認証方法で、パスワードを保存したり入力したりする必要がありません。一般的にパスワードよりもはるかに安全とされており、世界の大手テック企業の多くがパスワードの完全な置き換えを推進しています。
当然ながら、この攻撃から身を守る最善の方法は、クリックする前によく考え、緊急の対応を求めるメールには常に疑いの目を持つことです。
