Les utilisateurs du gestionnaire de mots de passe LastPass ont récemment été ciblés par une campagne de phishing convaincante utilisant une combinaison d’e-mails, de SMS et d’appels vocaux pour tromper les cibles et les inciter à divulguer leurs mots de passe maîtres, ont déclaré des responsables de l’entreprise. Les attaquants ont utilisé un kit de phishing avancé découvert en février par des chercheurs de la société de sécurité mobile Lookout. Surnommé CryptoChameleon en raison de son orientation vers les comptes de cryptomonnaie, le kit fournit toutes les ressources nécessaires pour tromper même des personnes relativement averties en leur faisant croire que les communications sont légitimes. Les éléments incluent des URL de haute qualité, une fausse page de connexion unique pour le service utilisé par la cible, ainsi que tout ce qui est nécessaire pour passer des appels vocaux ou envoyer des e-mails ou des textos en temps réel pendant que les cibles visitent un site frauduleux. Le service de bout en bout peut contourner l’authentification multi-facteurs si la cible est protégée. Lookout a déclaré que LastPass était l’une des nombreuses services ou sites sensibles que CryptoChameleon était configuré pour imiter. D’autres cibles comprenaient la Federal Communications Commission, Coinbase ainsi que d’autres bourses de cryptomonnaies, et des services de gestion de mots de passe, de messagerie et de connexion unique tels que Okta, iCloud et Outlook. Lorsque les chercheurs de Lookout ont accédé à une base de données utilisée par un abonné à CryptoChameleon, ils ont constaté qu’une grande partie des données collectées dans les escroqueries semblaient être des adresses e-mail légitimes, des mots de passe, des jetons à usage unique, des URL de réinitialisation de mot de passe, ainsi que des photos de cartes de permis de conduire. Habituellement, de telles bases de données sont remplies de fausses informations. Les responsables de LastPass ont déclaré jeudi que des cybercriminels avaient récemment utilisé CryptoChameleon pour cibler les utilisateurs du gestionnaire de mots de passe. Ils ont indiqué que les tactiques utilisées dans la campagne étaient les suivantes: la campagne a ciblé activement les clients de LastPass les 15 et 16 avril, a déclaré un représentant de l’ entreprise dans un courriel. LastPass a réussi à faire retirer le site frauduleux le 16 avril.
La dernière mise à jour de sécurité de Chrome sera plus proactive pour vous protéger.
Chrome reçoit une série de mises à jour de sécurité qui pourraient améliorer votre sécurité lors de la navigation en
