• chevron_right

      LastPass users targeted in phishing attacks good enough to trick even the savvy

      news.movim.eu / ArsTechnica · Yesterday - 18:42 · 1 minute

    LastPass users targeted in phishing attacks good enough to trick even the savvy

    Enlarge (credit: Getty Images)

    Password-manager LastPass users were recently targeted by a convincing phishing campaign that used a combination of email, SMS, and voice calls to trick targets into divulging their master passwords, company officials said.

    The attackers used an advanced phishing-as-a-service kit discovered in February by researchers from mobile security firm Lookout. Dubbed CryptoChameleon for its focus on cryptocurrency accounts, the kit provides all the resources needed to trick even relatively savvy people into believing the communications are legitimate. Elements include high-quality URLs, a counterfeit single sign-on page for the service the target is using, and everything needed to make voice calls or send emails or texts in real time as targets are visiting a fake site. The end-to-end service can also bypass multi-factor authentication in the event a target is using the protection.

    LastPass in the crosshairs

    Lookout said that LastPass was one of dozens of sensitive services or sites CryptoChameleon was configured to spoof. Others targeted included the Federal Communications Commission, Coinbase and other cryptocurrency exchanges, and email, password management, and single sign-on services including Okta, iCloud, and Outlook. When Lookout researchers accessed a database one CryptoChameleon subscriber used, they found that a high percentage of the contents collected in the scams appeared to be legitimate email addresses, passwords, one-time-password tokens, password reset URLs, and photos of driver’s licenses. Typically, such databases are filled with junk entries.

    Read 11 remaining paragraphs | Comments

    • chevron_right

      LastPass – Un attaque deepfake ratée a ciblé un employé

      news.movim.eu / Korben · 7 days ago - 09:12 · 1 minute

    Les arnaques vocales à base de deep fake comment à se démocratiser. Même les employés des boîtes de sécurité comme LastPass peuvent se faire avoir. Enfin, presque…

    Car oui, récemment, un des leurs s’est fait appeler par un escroc qui imitait à la perfection la voix du big boss, Karim Toubba . Le gars a utilisé un deepfake audio assez sophistiqué pour se faire passer pour le PDG. Mais heureusement, l’employé a flairé l’entourloupe parce que le pirate a fait l’erreur d’utiliser WhatsApp pour son petit numéro de magie, ce qui n’est pas très corporate et bien vu chez Lastpass.

    En plus, il mettait la pression avec une fausse urgence. Bref, tous les voyants étaient au rouge.

    L’employé a donc envoyé balader l’arnaqueur et a prévenu la sécurité interne, comme ça, pas de dégâts, mais ça montre bien que ces attaques à base d’IA sont de plus en plus sophistiquées. Pour générer la voix du PDG, le pirate a sûrement dû s’entraîner sur des enregistrements publics, comme cette interview du CEO sur YouTube .

    En tout cas, si vous recevez un appel de ma part, sachez que ce ne sera pas moi, car la somme d’argent que vous demandera l’escroc ne sera pas assez élevée par rapport à ce que je vous aurais demandé en vrai. Donc méfiance !

    Plus sérieusement, le ministère américain de la Santé a tiré la sonnette d’alarme la semaine dernière sur ces arnaques ciblant les services d’assistance IT. Pour se protéger, ils conseillent de :

    • Rappeler systématiquement pour vérifier une demande de réinitialisation de mot de passe
    • Surveiller les changements suspects de coordonnées bancaires
    • Revalider tous les accès aux sites de paiement
    • Privilégier les demandes en personne pour les sujets sensibles
    • Faire valider les requêtes par un superviseur
    • Former les équipes support à repérer l’ingénierie sociale et vérifier l’identité des appelants

    Bref, la vigilance est de mise, alors faites tourner !

    Source

    • chevron_right

      A password manager LastPass calls “fraudulent” booted from App Store

      news.movim.eu / ArsTechnica · Thursday, 8 February - 22:16 · 1 minute

    A password manager LastPass calls “fraudulent” booted from App Store

    Enlarge (credit: Getty Images)

    As Apple has stepped up its promotion of its App Store as a safer and more trustworthy source of apps, its operators scrambled Thursday to correct a major threat to that narrative: a listing that password manager maker LastPass said was a “fraudulent app impersonating” its brand.

    At the time this article on Ars went live, Apple had removed the app—titled LassPass and bearing a logo strikingly similar to the one used by LastPass—from its App Store. At the same time, Apple allowed a separate app submitted by the same developer to remain. Apple provided no explanation for the reason for removing the former app or for allowing the latter one to remain.

    Apple warns of “new risks” from competition

    The move comes as Apple has beefed up its efforts to promote the App Store as a safer alternative to competing sources of iOS apps mandated recently by the European Union. In an interview with App Store head Phil Schiller published this month by FastCompany, Schiller said the new app stores will “bring new risks”—including pornography, hate speech, and other forms of objectionable content—that Apple has long kept at bay.

    Read 9 remaining paragraphs | Comments

    • chevron_right

      LastPass met fin au laxisme pour votre mot de passe maître (et c’est pour votre bien)

      news.movim.eu / Numerama · Thursday, 4 January - 15:23

    LastPass mot de passecode

    LastPass impose désormais un nombre minimal de caractères pour le mot de passe maître. Les internautes qui avaient opté pour un autre réglage ont l'obligation de le changer.

    • chevron_right

      LastPass : que vaut ce gestionnaire de mots de passe à la réputation écornée ?

      news.movim.eu / Numerama · Wednesday, 6 December - 15:21

    LastPass

    LastPass est avec 1Password l’un des gestionnaires de mots de passe les plus populaires. Son succès n’est pas usurpé : il s’agit d’un des seuls à proposer une version totalement gratuite. Mais la réputation de LastPass a été écornée après de graves piratages. Peut-on encore lui faire confiance ? Notre avis sur LastPass.

    • chevron_right

      L’attaque de LastPass est partie d’un simple site de streaming

      news.movim.eu / Numerama · Thursday, 2 March, 2023 - 09:34

    Le populaire gestionnaire de mot de passe LastPass a été attaqué en août 2022. Les pirates ont ciblé directement l'ordinateur d'un développeur. [Lire la suite]

    Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

    • chevron_right

      LastPass says employee’s home computer was hacked and corporate vault taken

      news.movim.eu / ArsTechnica · Tuesday, 28 February, 2023 - 01:01 · 1 minute

    LastPass says employee’s home computer was hacked and corporate vault taken

    Enlarge (credit: Leon Neal | Getty Images)

    Already smarting from a breach that put partially encrypted login data into a threat actor’s hands, LastPass on Monday said that the same attacker hacked an employee’s home computer and obtained an unencrypted vault available to only a handful of company developers.

    Although an initial intrusion into LastPass ended on August 12, officials with the leading password manager said the threat actor “was actively engaged in a new series of reconnaissance, enumeration, and exfiltration activity” from August 12 to August 26. In the process, the unknown threat actor was able to steal valid credentials from a senior DevOps engineer and access the contents of a LastPass data vault. Among other things, the vault gave access to a shared cloud-storage environment that contained the encryption keys for customer vault backups stored in Amazon S3 buckets .

    Another bombshell drops

    “This was accomplished by targeting the DevOps engineer’s home computer and exploiting a vulnerable third-party media software package, which enabled remote code execution capability and allowed the threat actor to implant keylogger malware,” LastPass officials wrote. “The threat actor was able to capture the employee’s master password as it was entered, after the employee authenticated with MFA, and gain access to the DevOps engineer’s LastPass corporate vault.”

    Read 9 remaining paragraphs | Comments

    • chevron_right

      Piratage de LastPass : faut-il s’inquiéter des mots de passe chiffrés dans la nature ?

      news.movim.eu / Numerama · Friday, 23 December, 2022 - 10:20

    Sean Bean

    LastPass a de nouvelles informations concernant l'incident de sécurité survenu en 2022. Des données personnelles ont été dérobées. Des sauvegardes contenant des mots de passe aussi, mais ces archives sont chiffrées. [Lire la suite]

    Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

    • chevron_right

      Piratage de LastPass : des mots de passe chiffrés sont-ils dans la nature ?

      news.movim.eu / Numerama · Friday, 23 December, 2022 - 10:15

    Sean Bean

    LastPass a de nouvelles informations concernant l'incident de sécurité survenu en 2022. Des données personnelles ont été dérobées. Des sauvegardes contenant des mots de passe aussi, mais ces archives sont chiffrées. [Lire la suite]

    Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/