Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Fake LastPass support email threads try to steal vault passwords

1 minute de lecture

Mis à jour :

Campagne de Phishing : LastPass sous le Feux des Recruteurs de Mots de Passe

Une campagne de phishing sophistiquée cible les utilisateurs de LastPass, utilisant des courriels frauduleux simulant des alertes d’accès non autorisé pour voler les identifiants du coffre-fort. Les messages, usurpant l’identité du support LastPass, se présentent comme des fils de discussion internes concernant une demande de changement d’adresse e-mail principale. Cette mise en scène vise à inciter les victimes à cliquer sur des liens tels que “signaler une activité suspecte” ou “révoquer l’appareil”, les redirigeant vers de fausses pages de connexion LastPass hébergées sur des domaines comme “verify-lastpass[.]com”.

Points Clés :

  • Imitation Sophistiquée : Les courriels imitent des échanges de support pour paraître légitimes.
  • Tactique d’Urgence : Les liens incitent à une réaction rapide pour masquer l’arnaque.
  • Objectif : Voler les identifiants du coffre-fort LastPass.
  • Domaine Phishing Principal : “verify-lastpass[.]com” et des variations proches.
  • Infrastructure Non Compromise : LastPass confirme que ses propres systèmes ne sont pas affectés.
  • Historique de Cibles : LastPass est régulièrement la cible de campagnes de phishing.

Vulnérabilités :

Aucune vulnérabilité spécifique avec un identifiant CVE n’est mentionnée dans cet article. L’attaque exploite des vulnérabilités humaines (confiance, urgence) plutôt que des failles techniques dans le logiciel LastPass.

Recommandations :

  • Prudence avec les Alertes : Soyez extrêmement méfiant face aux courriels signalant un accès non autorisé ou des problèmes de compte, même s’ils semblent provenir de LastPass.
  • Ne Jamais Divulguer le Mot de Passe Maître : Les agents de support de LastPass ne demanderont jamais votre mot de passe maître.
  • Vérifier les Liens : Passez la souris sur les liens avant de cliquer pour vérifier l’URL de destination. Méfiez-vous des domaines qui semblent légèrement différents de l’officiel.
  • Accéder Directement : Pour toute action ou vérification, il est préférable de se connecter directement à son compte LastPass via le site web officiel plutôt que de passer par les liens des e-mails.
  • Signaler les Communications Suspectes : Envoyez tout courriel suspect à abuse@lastpass.com.
  • Surveillance Constante : Restez informé des nouvelles menaces et campagnes de phishing ciblant les gestionnaires de mots de passe.

Source

Vous pourriez aimer