Obľúbené aplikácie Slovákov sa stali terčom hackerov. Tieto falošné e-maily ti môžu ukradnúť všetky heslá
Podvodné e-maily tvrdia, že tvoj správca hesiel bol napadnutý, a nútia ťa stiahnuť falošnú aktualizáciu.
Ak ti v posledných dňoch pristála v schránke správa, že tvoj správca hesiel bol „napadnutý“ a máš si okamžite nainštalovať novú desktopovú aplikáciu, veľmi pravdepodobne ide o podvod. Po celom svete sa totiž šíri rozsiahla phishingová kampaň, ktorá mieri na používateľov LastPassu a Bitwardenu.
E-maily vyzerajú vierohodne. Nechýba v nich logo firmy, technické vysvetlenie ani výzva na „urgentnú aktualizáciu“. Útočníci tvrdia, že staršia verzia programu je zraniteľná a môže ohroziť tvoje uložené heslá. Falošný link ťa pritom nasmeruje na stránku, kde si máš stiahnuť „bezpečnú verziu“ aplikácie. Samozrejme, žiadna bezpečná verzia to nie je! Ide o inštalátor škodlivého softvéru.
Hackeri si chcú posvietiť na tvoje heslá! radšej buď opratrní a never všetkému čo ti príde do mailu
Podľa bezpečnostného portálu BleepingComputer a malwarebytes.com, podvodný inštalátor nainštaluje „Syncro MSP“ , legitímny nástroj, ktorý sa bežne používa vo firmách na vzdialenú správu počítačov. Tentoraz ho však hackeri zneužívajú, ako zadné vrátka. Syncro v pozadí automaticky spustí aplikáciu ScreenConnect, cez ktorú útočník získa plnú kontrolu nad tvojím počítačom.
LastPass rýchlo reagoval a potvrdil, že žiadny útok na ich infraštruktúru sa nestal. E-maily sú podľa nich sofistikovaný pokus o sociálne inžinierstvo. Ide tede ao typický phishing, ktorý sa spolieha na to, že v panike uveríš tomu, čo čítaš. Kampaň sa rozbehla len nedávn, presnejšie minulý víkend, čo útočníkom nahrávalo. Nakoľko väčšina IT oddelení vtedy reaguje pomalšie.
Podvodné správy boli rozosielané z adries ako „hello@lastpasspulse.blog“ či „hello@lastpassjournal.blog“. Rovnaký scenár neskôr zasiahol aj používateľov Bitwardenu. Tam prišla správa z „hello@bitwardenbroadcast.blog“, ktorá sa tvárila rovnako presvedčivo. Cloudflare už medzičasom tieto podvodné stránky zablokoval, no nie je vylúčené, že hackeri ich opätovne spustia pod inými doménami.
Neprehliadni
Bezpečnostní analytici ďalej zistili, že infikovaný Syncro agent sa na lište vôbec nezobrazuje a s riadiacim serverom komunikuje každých 90 sekúnd. Neobsahuje pritom bežné funkcie vzdialenej správy, zato cielene blokuje antivírusové programy ako Emsisoft, Webroot či Bitdefender. Po aktivácii ScreenConnectu má útočník možnosť otvoriť akýkoľvek súbor, stiahnuť nové škodlivé komponenty a dokonca aj ukradnúť uložené prihlasovacie údaje.
Aktualizácie sťahuj len priamo zo stránok tvorcu programu!
Len pred pár týždňami sa podobná schéma objavila aj pri 1Password. Ľuďom prichádzali správy z adresy „watchtower@eightninety.com“, ktoré ohlasovali falošné napadnutie účtu a presmerovávali na „onepass-word.com“. Tento incident vtedy, ako prvý popísali výskumníci z Malwarebytes.
Ak používaš správcu hesiel, mal by si spozornieť. Neotváraj podozrivé e-maily, neklikaj na žiadne linky a nikdy nezadávaj svoje hlavné heslo mimo oficiálnej aplikácie, alebo webu. Ak sa chceš uistiť, že je všetko v poriadku, prihlás sa priamo cez oficiálnu stránku služby. Podvodníci stále vymýšľajú nové triky, no zdravá dávka skepticizmu a zapnutá dvojfaktorová autentifikácia ti dokážu ušetriť veľa nepríjemností.
