CryptoChameleonは、企業や高価値のターゲットに対して高度なフィッシングキャンペーンを実施しており、LastPassのユーザーからマスターパスワードを盗み出す手法を用いている。このグループは、手厚いサポートを装い被害者を騙している。
LastPassは、CryptoChameleonの攻撃により一部の顧客が被害を受けたことを検知し、対応を行った。被害に遭った可能性がある顧客は少なくとも8人に上り、LastPassは被害者支援のための情報提供を実施している。
CryptoChameleonの攻撃に対する防御策としては、意識の向上が最初のステップである。電話番号のスプーフィングに警戒し、不明な電話には応答しないこと、さらにソーシャルエンジニアリング攻撃にも注意することが重要である。
【ニュース解説】
最近、LastPassのユーザーが非常に巧妙なフィッシングキャンペーン「CryptoChameleon」の犠牲になり、マスターパスワードを盗まれる事件が発生しました。このキャンペーンは、被害者に対して非常にリアルなサポート体験を提供し、その信頼を利用して重要な情報を盗み出す手法を用いています。
LastPassはパスワード管理ツールであり、ユーザーは様々なアカウントのパスワードを一つのマスターパスワードで管理します。このマスターパスワードが漏洩すると、ユーザーの全アカウントが危険にさらされるため、非常に高いリスクが伴います。
CryptoChameleonの攻撃者は、まず被害者に電話をかけ、アカウントが新しいデバイスからアクセスされたと通知します。その後、カスタマーサービスを装った別の電話があり、この過程で被害者を騙してフィッシングサイトに誘導し、マスターパスワードを入力させます。攻撃者はこのパスワードを使用して被害者のアカウントにアクセスし、被害者がアカウントにアクセスできないように情報を変更します。
このような攻撃に対する防御策としては、まず第一に、電話番号のスプーフィングやソーシャルエンジニアリングの手法に対する意識を高めることが重要です。不明な番号からの電話には応答しない、または慎重に対応すること、そして、どんなに信頼できそうな相手でも、重要な情報を電話越しに共有しないことが求められます。
この事件は、高度なフィッシング攻撃がいかに巧妙になっているかを示しており、個人だけでなく企業も含めたユーザーが、セキュリティ意識を常に更新し続ける必要があることを強調しています。また、多要素認証(MFA)のような追加のセキュリティ対策を利用することも、この種の攻撃から身を守るための有効な手段の一つです。しかし、最終的にはユーザー自身の警戒心と知識が、このような詐欺から身を守る鍵となります。
from Multiple LastPass Users Lose Master Passwords to Ultra-Convincing Scam.
