Criminosos se passam por funcionários do LastPass para roubar senhas

Mais um caso de segurança envolvendo o LastPass, mas dessa vez o sistema da empresa não foi invadido. Golpistas estão aplicando phishing para entrar em contas dos clientes

Felipe Freitas
Por
Foto de iPhone com o LastPass na App Store
LastPass autêntico continua na App Store (Imagem: Giovanni Santa Rosa/Tecnoblog)
Resumo
  • O quê? Cibercriminosos estão se passando por funcionários do LastPass para aplicar golpes de phishing em usuários que possuem criptomoedas.
  • Quem? O alvo principal são os usuários do LastPass que detêm as moedas digitais.
  • Como? O golpe se inicia com uma ligação automatizada informando sobre um suposto acesso não autorizado à conta do usuário, seguido de um email com um link para um site falso onde as credenciais são coletadas.
  • Por quê? Os golpistas visam obter senhas de carteiras de criptomoedas armazenadas no gerenciador de senhas do LastPass.
  • Quando? A divulgação do esquema foi feita na quinta-feira (18), mas é parte de uma série de ataques que incluem invasões ocorridas em 2022.
  • Onde? As comunicações fraudulentas ocorrem através de ligações telefônicas de um número parecido com serviços gratuitos (888) e emails com links para sites falsos.

O LastPass divulgou na quinta-feira (18) que cibercriminosos estão se passando por funcionários da empresa para invadir as contas dos seus clientes. Os golpistas tem como alvo os usuários do LastPass que possuem criptomoedas. A farsa envolve duas ligações e contato com email, informando sobre uma tentativa de acesso — mas que na verdade nunca ocorreu.

O golpe aplicado pelos cibercriminosos é o velho conhecido phishing, que envolve aplicar engenharia social — boa lábia — para enganar as vítimas. Nesse caso do LastPass, a primeira etapa dos criminosos é ligar através de um número 888, que funcionam de um modo parecido com o nosso 0800.

A ligação automatizada dizia que houve um acesso não autorizado à conta do usuário. Ele devia digitar no teclado “1” para permitir o login ou “2” para bloquear acesso. Caso clicasse no “dois”2”, outra ligação era feita.

LastPass para Android (Imagem: Emerson Alecrim/Tecnoblog)
Cibercriminosos se passavam por funcionários da LastPass usando um falso caso de acesso não autorizado (Imagem: Emerson Alecrim/Tecnoblog)

Dessa vez, os cibercriminosos, se passavando por funcionário da LastPass, diziam que enviaram um email para prosseguir com o atendimento. O email continha um site falso, no qual o cliente fazia o login, passando a senha mestre, e perdia o acesso à conta.

Esse tipo de phishing visa encontrar senhas de carteiras de criptomoedas salvas no gerenciador de senhas. Em outro caso, contas do aplicativo de notas Evernote foram atacadas para buscar anotações dessas senhas (eu fui um dos que sofreu uma tentativa de ataque no Evernote).

Sistema do LastPass foi invadido duas vezes em 2022

Em 2022, o sistema do LastPass foi invadido em dois ataques hackers — o segundo foi consequência do primeiro. Uma das invasões utilizou uma vulnerabilidade de um aplicativo de terceiro para conseguir as credenciais de um engenheiro da empresa.

No primeiro ataque, os hackers conseguiram instalar um keylogger no computador desse engenheiro, que era um dos quatros funcionários com a chave de criptografia do LastPass. Nesses ataques, chaves de criptografia, backups e dados pessoais de clientes foram roubados.

Com informações: Bleeping Computer

Relacionados

Escrito por

Felipe Freitas

Felipe Freitas

Repórter

Felipe Freitas é jornalista graduado pela UFSC, interessado em tecnologia e suas aplicações para um mundo melhor. Na cobertura tech desde 2021 e micreiro desde 1998, quando seu pai trouxe um PC para casa pela primeira vez. Passou pelo Adrenaline/Mundo Conectado. Participou da confecção de reviews de smartphones e outros aparelhos.

Temas populares