(Portal/EP) – LastPass ha advertido sobre una campaña de ‘phishing’ dirigida a los usuarios de su servicio de gestión de contraseñas, quienes están siendo contactados por ciberdelincuentes dirigiéndolos a un sitio web falso para robar sus contraseñas principales. Un actor malicioso está utilizando la marca registrada LastPass para engañar a los usuarios del servicio, dirigiéndolos a un sitio web falso creado con el kit de herramientas de phishing CryptoChameleon.
Esto les brinda a los estafadores las herramientas necesarias para crear un sitio web que sea casi idéntico al sitio que se hace pasar, con un logotipo, gráficos y una ventana de inicio de sesión. Las víctimas potenciales recibieron una llamada, un mensaje de texto o un correo electrónico, aparentemente de LastPass, advirtiéndoles que se estaba accediendo a su cuenta desde otro dispositivo y solicitándoles que indicaran si permitían o no. En caso de una llamada, si rechazan otorgar acceso, recibirán hasta dos llamadas más de supuestos representantes de LastPass enviándoles un correo electrónico con un enlace para restablecer su contraseña.
En realidad, este enlace conduce a un sitio web falso diseñado para robar la información de inicio de sesión y contraseña maestra de la víctima. Si se proporciona esto último, un actor malintencionado puede intentar acceder a la cuenta y modificar la configuración para obtener el control de la cuenta. LastPass recordó en una entrada en su blog oficial que nunca piden una contraseña maestra.
También informó que logró cerrar la página principal donde se lanzaba la campaña de ‘phishing’, pero advirtió que el kit de herramientas aún está disponible y por eso los usuarios de su servicio ignoran comunicaciones similares. infórmeles sobre cualquier intento de contacto que reciban de estafadores.
