Warning: LastPass Alerts Users to Phishing Scam Using Fake Support Reviews on Chrome Web Store
2024/11/05 SecurityOnline — パスワード管理プラットフォーム LastPass が発した警告は、Chrome Web Store アプリ・ページでの偽のレビューを通じて、ユーザー・ベースを狙うソーシャル・エンジニアリング・キャンペーンに関するものである。この新たな攻撃は、脅威アクターが偽のレビューを送信してユーザーを欺き、不正なサポート番号へと電話をかけさせ、機密情報を危険にさらす可能性があるものだ。
公開されたアドバイザリで LastPass は、「この詐欺の仕組みは、脅威アクターが管理する偽の番号へと、ユーザー顧を誘導するレビューを送信しているようだ。それに騙されたユーザーが悪意の番号に電話すると、LastPass サポートを装う人物が応対し、LastPass へのアクセスに用いるデバイスと OSS の種類を尋ねる。この情報を収集した攻撃者は、フィッシング Web サイト dghelp[.]top へとアクセスするよう指示し、悪意のあるサイトとの関わりを促す」と説明している。
LastPass は、「LastPass では、マスター・パスワードを尋ねることはあり得ない。ユーザーに対するアドバイスは、常に正規のカスタマー・サポートが受けられる、公式の LastPass Web サイトに記載されている以外の、サポート番号に電話することは避けてほしい。それらは、フェイクある」と、アドバイスしている。
すでに LastPass チームは、この詐欺に関連する不正なレビューを削除した一方で、このフィッシング・サイトを閉鎖するために積極的に取り組んでいる。同社は、「レビューを削除し、フィッシング Web サイトを閉鎖することで、このキャンペーンの阻止に取り組んでいる。現時点において、これらの偽投稿は、Chrome Web Store アプリ・ページだけにみ存在する」と指摘している。しかし、その一方では、警戒を怠らないよう、ユーザーに対してアドバイスしている。
LastPass からユーザーへのアドバイスは、以下の重要なヒントに従い、この詐欺の被害に遭わないようにしてほしいというものだ。
疑わしいアクティビティを報告する:不正と思われるメール/電話番号/Web サイトに遭遇した場合には、それらを abuse@lastpass.com へと転送する。
すべてのサポート連絡先情報を確認する:サポートが必要な場合には、ダイレクトに lastpass.com にアクセスしてほしい。疑わしいレビューや検索エンジンの結果に頼らないことで、詐欺に遭遇する可能性が大きく低減される。
マスター・パスワードを共有しない:この情報にいついて、LastPass がユーザーに尋ねることはあり得ないま。LastPass のサポート担当者を名乗る人物であっても、情報を共有してしまうと、アカウントが即座に侵害される可能性が生じる。
疑わしい Web ページや電話番号に注意してほしい:Chrome Web Store のアプリ・ページのユーザー名とテキストは、一般的に変更される可能性があるものだ。しかし、悪意のレビューのテキストは一貫している。レビューで繰り返されるフレーズに注意し、そこに記載されている電話番号は疑うべきだ。
こんなソーシャル・エンジニアリングのキャンペーンがありますよと、LastPass ユーザーに対して注意を促す記事です。人間の心は、常に揺らいでいるわけで、そのサイクルの中の良くないタイミングに、こうしたソーシャル・エンジニアリングに遭遇すれば、それなりに攻撃の成功率は上がると思えます。その一方で、攻撃者側のツールはキット化され、その高度な水準を、さらに高めているという状況です。お互いに、気をつけましょうと言い合うだけの、手詰まりの状況ですね。よろしければ、Social Engineering で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.