Usuários do gerenciador de senhas LastPass estão sendo abordados por golpistas em uma nova leva de ataques de phishing, no claro intuito de convencer as pessoas a divulgarem suas senhas mestras e, assim, abrir acesso às suas informações privadas. É a segunda grande ameaça a atingir a empresa neste ano.

A própria empresa confirmou que os golpistas estão usando um kit phishing-como-serviço chamado “CryptoChameleon”, que contempla e-mails com links falsos, páginas falsificadas e até chamadas telefônicas, em uma complexa rede de engenharia social que visa convencer você a contar para eles as suas credenciais de acesso. A plataforma criminosa consegue até mesmo contornar a autenticação em dois fatores (2FA) caso esta tenha sido ativada pelo usuário.

“Inicialmente” – disse a LastPass – “nós havíamos descoberto um novo domínio registrado porém não ativado ((help-lastpass[.]com) e imediatamente o marcamos para monitoramento caso ele fosse ao ar e começasse a servir uma página de phishing que imitasse o nosso login ou algo similar. Assim que vimos que o site estava ativo e vinha sendo usado como uma campanha de phishing contra nossos clientes, trabalhamos com nossos fornecedores para derrubá-lo.”

A empresa reconheceu a ajuda da equipe da Lookout, uma organização de pesquisa em segurança digital, que descobriu a existência do CryptoChameleon em fevereiro deste ano.

De acordo com o relato da empresa, o golpe funcionava da seguinte forma:

“Phishing”, para os não iniciados, não é o mesmo que “invadir” um sistema, já que não há nenhuma violação à estrutura de segurança de uma empresa. Na verdade, essa ameaça digital consiste em convencer você a entregar as informações de acesso por meio de um processo chamado “engenharia social” – para isso, no entanto, empregam-se várias medidas, como falsas páginas de internet que imitam suas versões autênticas, e-mails com links infectados ou a instalação de malwares que monitoram o que você digita e as páginas que você visita.

Desnecessário dizer, é um dos métodos favoritos empregados por ladrões digitais: em janeiro, um relatório da Check Point Security apontou que empresas como Google, Apple e Microsoft são algumas das marcas mais imitadas, enquanto uma análise da Kaspersky indicou que o método foi o mais usado para o roubo ou a clonagem de contas de WhatsApp no Brasil em 2022.

A LastPass ressalta uma premissa máxima de segurança que também vale para quase toda empresa, de qualquer ramo da indústria, com uma presença digital: em nenhum momento, não importa o contexto, um funcionário entrará em contato pedindo a sua senha. Se isso acontecer com você, trate de cortar o contato imediatamente.

Isso dito, algumas recomendações oferecidas pela empresa incluem: