LastPassは、正体不明の攻撃者がユーザーのマスターパスワードを奪取しようとする新たなフィッシングキャンペーンについて、正式な警告を発しました。この侵入は、サービスからの正規の管理連絡を装い、パスワード保管庫から機密データを盗み取るよう特別に設計されています。
1月19日ごろから出回り始めた詐欺メールは、差し迫った技術メンテナンスを口実に、アカウント保有者に対して24時間以内に保管庫のローカル複製を作成する必要があると主張しています。件名には恐怖心をあおって即時の対応を促す挑発的な文言が用いられ、たとえばデータを保護するための緊急命令や、インフラ刷新前にバックアップを完了するよう求める内容などが含まれます。
これらの通知の最終目的は、受信者をマスターパスワードの入力を求める偽のポータルへ誘導することです。被害者はまずAmazonのクラウドストレージのサブドメインへ誘導され、その後、公式のLastPassサイトを精巧に模倣したドメインへリダイレクトされます。同社は、顧客にマスターパスワードを求めることは決してなく、また時間的な切迫を盾に拙速な行動を要求することもないと強く改めて強調しています。
報告によれば、これらのメールは、support@lastpass[.]server8のように、LastPassの内部サーバーを装うために作られた複数の偽装アドレスから送信されています。同社のセキュリティチームは現在、外部組織と連携して、攻撃者が利用しているインフラの解体を進めています。
このフィッシングは、緊急性を心理的に作り出すことに大きく依存しています。これはソーシャルエンジニアリングにおいて最も広く使われ、かつ効果的な手口の一つとして知られています。LastPassの担当者は、ユーザーに対して高い警戒を維持し、不審な事象があれば引き続き報告するよう呼びかけています。この事案は、昨年、改ざんされたGitHubリポジトリを通じて配布されたmacOSマルウェアに関する開示など、過去の一連の挑発に続くものであり、そこでは有害なアプリケーションがLastPassやその他の一般的なデジタルツールを装っていました。
翻訳元: https://meterpreter.org/the-24-hour-trap-lastpass-issues-alert-over-master-password-phishing-spree/
