Phishing ciblant LastPass : des attaquants exploitent la procédure d’accès d’urgence
LastPass alerte sur une nouvelle campagne de phishing
LastPass a signalé une campagne de phishing visant à tromper les utilisateurs pour qu’ils révèlent leur mot de passe maître et leurs clés d’authentification. Les cybercriminels prétendent qu’un proche a soumis un certificat de décès afin d’obtenir l’accès au coffre-fort de la victime et invitent celle-ci à cliquer sur un lien pour contester la demande.
Comment fonctionne l’attaque
- Le groupe identifié comme CryptoChameleon (également UNC5356) est à l’origine de la campagne, ciblant notamment des utilisateurs de cryptomonnaies.
- Les attaquants exploitent la fonction » accès d’urgence » de LastPass : lorsqu’un membre de la famille signale le décès d’un titulaire, LastPass exige un certificat officiel et envoie parallèlement un message au compte concerné pour vérification.
- Les fraudeurs ont usurpé l’adresse
[email protected]et utilisé un objet alarmant : » Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED) » (Demande d’accès héritage ouverte – URGENT SI VOUS N’ÊTES PAS DÉCÉDÉ). - Le corps du message contient des informations falsifiées (numéro d’agent, date d’ouverture, niveau de priorité) pour sembler crédible.
- La victime est redirigée vers un site frauduleux – notamment lastpassrecovery.com – qui imite l’interface LastPass et demande le mot de passe maître.
- Des appels téléphoniques ont aussi été signalés : des personnes se faisant passer pour des représentants de LastPass pressent les utilisateurs de se rendre sur le site frauduleux.
Passkeys et nouvelles tactiques
LastPass indique que les attaquants poursuivent désormais la récupération de passkeys. Plusieurs sites de phishing, y compris des variantes de mypasskey.info, ont été mis en place pour conduire les utilisateurs à enregistrer de nouvelles clés sur des domaines malveillants, approuver des synchronisations frauduleuses ou désactiver des passkeys pour revenir à des méthodes moins sécurisées.
Réponse de LastPass et recommandations
- LastPass déclare avoir déployé des efforts pour interrompre la campagne et faire retirer le site initial.
- L’éditeur invite les utilisateurs à la vigilance et à signaler tout e-mail, SMS ou appel suspect à [email protected].
Conseils pratiques : ne jamais saisir votre mot de passe maître sur un site dont vous n’avez pas vérifié l’URL, ne pas répondre à des sollicitations urgentes non sollicitées, et contacter LastPass via les canaux officiels si vous avez un doute.
Articles connexes
Fuite de données Spotify : 256 millions de morceaux compromis
Spotify victime d’une fuite massive de données ! Anna’s Archive revendique la diffusion de 256 millions de métadonnées et 86 millions de fichiers audio. Détails et enjeux.
Fuite de données CAF : 4 millions d’allocataires exposés
Enquête sur la fuite de données CAF revendiquée : un fichier de 15 Go aurait exposé 4 millions d’allocataires. Origine inter-admin et conseils pour se protéger.
Tails publie la version 7.3.1 : correctif urgent après une vulnérabilité détectée dans la build 7.3
Tails publie une mise à jour corrective : présentation de la 7.3.1Le projet Tails a mis en ligne une version 7.3.1 en urgence après la découverte d’une vulnérabilité dans la build initiale de la 7.3. Les développeurs ont préféré retirer la publication prévue et diffuser rapidement une image corrigée pour préserver l’integrite du système. Cette […]