Το LastPass προειδοποιεί για πλαστά κέντρα υποστήριξης που προσπαθούν να κλέψουν δεδομένα πελατών

Το LastPass προειδοποιεί για μια συνεχιζόμενη καμπάνια όπου απατεώνες γράφουν κριτικές για την επέκτασή του για Chrome για να προωθήσουν έναν ψεύτικο αριθμό τηλεφώνου υποστήριξης πελατών. Ωστόσο, αυτός ο αριθμός τηλεφώνου είναι μέρος μιας πολύ μεγαλύτερης καμπάνιας για να εξαπατήσει τους καλούντες ώστε να δώσει στους απατεώνες απομακρυσμένη πρόσβαση στους υπολογιστές τους, όπως ανακαλύφθηκε από το BleepingComputer.

Το LastPass είναι ένας δημοφιλής διαχειριστής κωδικών πρόσβασης που χρησιμοποιεί μια επέκταση LastPass Chrome για τη δημιουργία, αποθήκευση, διαχείριση και αυτόματη συμπλήρωση κωδικών πρόσβασης ιστότοπου.

Οι φορείς απειλών προσπαθούν να στοχεύσουν ένα μεγάλο μέρος της βάσης χρηστών της εταιρείας αφήνοντας κριτικές 5 αστέρων με έναν ψεύτικο αριθμό υποστήριξης πελατών LastPass.

Αυτές οι κριτικές παροτρύνουν τους χρήστες που αντιμετωπίζουν προβλήματα με την εφαρμογή να επικοινωνήσουν με την ηλεκτρονική εξυπηρέτηση πελατών LastPass στο 805-206-2892, η οποία δεν σχετίζεται με τον προμηθευτή.

Αντίθετα, ένας απατεώνας που απαντά στο τηλέφωνο θα υποδυθεί το LastPass και θα κατευθύνει άτομα σε έναν ιστότοπο στο ‘dghelp[.]top’ όπου πρέπει να εισάγουν έναν κωδικό για να κατεβάσουν ένα πρόγραμμα απομακρυσμένης υποστήριξης.

“Τα άτομα που καλούν αυτόν τον ψεύτικο αριθμό υποστήριξης θα καλωσοριστούν από ένα άτομο που θα ρωτήσει με ποιο προϊόν αντιμετωπίζουν προβλήματα και στη συνέχεια μια σειρά ερωτήσεων σχετικά με το εάν επιχειρούν να αποκτήσουν πρόσβαση στο LastPass μέσω υπολογιστή ή κινητής συσκευής και ποιο λειτουργικό σύστημα χρησιμοποιούν. ” εξηγεί το LastPass.

«Στη συνέχεια θα κατευθυνθούν στην τοποθεσία dghelp[.]κορυφή ενώ ο παράγοντας της απειλής παραμένει στη γραμμή και προσπαθεί να κάνει το πιθανό θύμα να ασχοληθεί με τον ιστότοπο, εκθέτοντας τα δεδομένα του.”

Το BleepingComputer ανακάλυψε ότι η εισαγωγή του κωδικού σε αυτήν τη σελίδα θα κατεβάσει έναν παράγοντα ConnectWise ScreenConnect [VirusTotal] που θα δώσει στον απατεώνα πλήρη πρόσβαση στον υπολογιστή ενός ατόμου.

Από εκεί, ένας παράγοντας απειλής μπορεί να κρατήσει τον καλούντα απασχολημένο με ερωτήσεις. Ταυτόχρονα, ένας άλλος απατεώνας χρησιμοποιεί το ScreenConnect στο παρασκήνιο για να εγκαταστήσει άλλα προγράμματα για απομακρυσμένη πρόσβαση χωρίς επίβλεψη, να κλέψει δεδομένα ή να κλέψει δεδομένα από τον υπολογιστή.

Το BleepingComputer διαπίστωσε ότι ο πελάτης ScreenConnect θα κάνει συνδέσεις με διακομιστές που ελέγχονται από εισβολείς στο molatorimax[.]icu και n9back366[.]ρεύμα. Και οι δύο αυτοί ιστότοποι είχαν συσχετιστεί στο παρελθόν με μια διεύθυνση IP στην Ουκρανία προτού κρυφτούν πίσω από το Cloudflare.

Υπενθυμίζεται στους χρήστες του LastPass να μην μοιράζονται ποτέ τον κύριο κωδικό πρόσβασής τους με κανέναν, ούτε καν με νόμιμη υποστήριξη πελατών, καθώς αυτό θα συνεπαγόταν ιδιωτική πρόσβαση σε όλους τους κωδικούς πρόσβασης και τα δεδομένα που είναι αποθηκευμένα στα θησαυροφυλάκια του LastPass.

Συνδέεται με μια μεγαλύτερη καμπάνια απάτης

Η BleepingComputer έμαθε ότι ο αριθμός τηλεφώνου που σχετίζεται με το ψεύτικο κέντρο υποστήριξης LastPass συνδέεται με μια πολύ μεγαλύτερη καμπάνια.

Ο αριθμός τηλεφώνου, 805-206-2892, βρέθηκε επίσης να προωθείται ως αριθμός υποστήριξης για πολλές άλλες εταιρείες, όπως Amazon, Adobe, Facebook, Hulu, YouTube TV, Peakcock TV, Verizon, Netflix, Roku, PayPal, Squarespace, Grammarly, iCloud, Ticketmaster και Capital One.

Αυτοί οι ψεύτικοι αριθμοί υποστήριξης δημοσιεύονται όχι μόνο σε κριτικές επεκτάσεων Chrome, αλλά και σε ιστότοπους που επιτρέπουν σε οποιονδήποτε να δημιουργεί περιεχόμενο, όπως φόρουμ εταιρειών και Reddit.

Ενώ πολλές από αυτές τις αναρτήσεις καταργούνται καθώς δημιουργούνται, άλλες εξακολουθούν να είναι διαθέσιμες, με νέες να δημιουργούνται καθ’ όλη τη διάρκεια της ημέρας.