Negli ultimi tempi, i possessori di account LastPass stanno affrontando un attacco di phishing particolarmente astuto, orchestrato dal gruppo di cybercriminali noto come CryptoChameleon. Questo attacco, iniziato a metà ottobre, sfrutta un aspetto legittimo del servizio di gestione delle password, mettendo in evidenza la vulnerabilità degli utenti di fronte a tattiche di ingegneria sociale.
La strategia del phishing
Il metodo utilizzato da CryptoChameleon è piuttosto sofisticato e si basa sull’invio di email che sembrano provenire dal supporto clienti di LastPass. Queste comunicazioni riportano un messaggio allarmante: un familiare ha caricato un certificato di morte per ottenere l’accesso all’account LastPass dell’utente. Questa manovra è concepita per sfruttare il sistema di accesso d’emergenza del servizio, che consente a una persona fidata di accedere all’account in caso di incapacità o decesso del titolare.
Creare un senso di urgenza
Nel tentativo di indurre le vittime a reagire rapidamente, l’email include dettagli fittizi come un numero di ID agente, una data di apertura e un livello di priorità. Un invito a cliccare su un link per annullare la richiesta appare subito. Questa pressione psicologica spinge gli utenti a ignorare eventuali segnali di avvertimento, come l’indirizzo email sospetto del mittente.
Il sito di phishing
Cliccando sul link, l’utente viene reindirizzato a un sito web fraudolento che imita l’interfaccia di LastPass. Qui, viene richiesto di inserire la master password per confermare la propria identità. Una volta fornita, i criminali acquisiscono accesso completo a tutte le credenziali memorizzate nel vault di LastPass. La situazione si complica ulteriormente, poiché alcuni utenti segnalano di essere stati contattati telefonicamente da presunti operatori di LastPass, che tentano di convincerli a fornire le loro credenziali.
La truffa evolve
Questo tipo di ingegneria sociale, noto come vishing o voice phishing, rappresenta un’evoluzione significativa rispetto alle tecniche di phishing tradizionali. I criminali non si limitano a inviare email; ora cercano di instaurare una comunicazione diretta per aumentare la loro credibilità e ottenere informazioni sensibili.
La risposta di LastPass
LastPass ha emesso un avviso urgente per mettere in guardia gli utenti riguardo a questa sofisticata campagna di phishing. L’azienda sottolinea che non chiederà mai la master password tramite email o telefono. Gli utenti sono esortati a ignorare comunicazioni sospette e a contattare direttamente LastPass per chiarimenti.
Inoltre, LastPass ha già intrapreso misure per fermare la diffusione del sito di phishing collaborando con fornitori di servizi di rete e segnalando le attività sospette alle autorità competenti.
Questo incidente evidenzia quanto sia importante rimanere vigili e adottare misure di sicurezza appropriate per proteggere le proprie informazioni personali.
Riflessioni finali
Il mondo della sicurezza informatica è in continua evoluzione, e gli attacchi come quello di CryptoChameleon dimostrano che i cybercriminali sono sempre più abili nel manipolare le emozioni delle vittime. È fondamentale che gli utenti comprendano i rischi legati all’uso di strumenti di gestione delle password e si informino sulle migliori pratiche per mantenere al sicuro le loro credenziali.
