Le gestionnaire de mot de passe LastPass attire de nombreuses convoitises © Shutterstock
Les gestionnaires de mot de passe sont des cibles de choix pour les hackers qui peuvent mettre la main sur tout un tas d’identifiants en un coup. Pas étonnant que LastPass se retrouve encore au milieu d’une campagne de phishing donc.
LogMeIn semble particulièrement attirer les convoitises ces derniers temps. L’entreprise qui édite l’ultra-populaire logiciel LastPass est au cœur de nombreuses tentatives de phishing et d’arnaques ces dernières semaines. De la fausse application qui tente de voler vos identifiants aux deepfake vocaux du PDG qui essaient de s’infiltrer dans les systèmes informatiques de l’entreprise, LastPass est attaqué de toute part. Et la dernière attaque en date prouve que les pirates sont prêts à faire beaucoup d’efforts pour mettre la main sur vos données personnelles.
Du phishing de qualité
Comme l’explique LastPass dans un billet de blog publié le 17 avril, une campagne de phishing très convaincante a visé de nombreux utilisateurs et utilisatrices du gestionnaire de mot de passe. Tout commence par un coup de fil avec, de l’autre côté de la ligne, une boite vocale informant la victime que son compte LastPass a été utilisé depuis un appareil inconnu et qu’il est possible de valider ou non la connexion en tapant « 1 » ou « 2 » sur son clavier. Si la victime tombe dans ce premier panneau, alors la machine est lancée.
Dès la fausse connexion « refusée », un second appel émanant supposément de LastPass avec cette fois un vrai « employé » au bout du fil vous conseille de remettre à zéro les accès à votre compte à l’aide d’un lien envoyé par mail. Le mail semble bel et bien venir du nom de domaine lastpass.com, l’URL help-lastpass.com paraît légitime, le site reproduit la direction artistique de l’entreprise à la perfection et toute l’arnaque est orchestrée par une voix « à l’accent américain avec un ton d’employé de centre d’appel très professionnel », note LastPass.
Si l’utilisateur ou l’utilisatrice utilise l’authentification multifacteur, pas de problème, le site génère à la volée un champ de saisie permettant de subtiliser ces codes d’authentification aussi. Pour ne rien arranger, les victimes surfent majoritairement sur mobile où il est parfois plus difficile de faire la différence entre un site légitime ou non.
CryptoChameleon aux manettes
L’arnaque, désormais identifié par LastPass et mis hors d’état de nuire grâce à la suppression de l’URL trompeuse, utilisait en fait un kit de phishing tout en un nommé CryptoChameleon en raison de son utilisation fréquente pour piéger les fans de crypto. De la fausse plateforme web aux outils nécessaires pour passer des coups de fils frauduleux en passant par les outils de détournement de l’authentification multifacteur, tout est offert clé en main pour arnaquer les internautes.
Rappelons donc qu’en termes de sécurité, prudence est mère de sûreté et que si vous avez le moindre doute concernant un appel frauduleux ou un mail aux allures louches, il vaut mieux ne pas donner suite.
merci à CLUBIC