LastPass, kullanıcılarını yeni bir kimlik avı (phishing) kampanyasına karşı uyardı. Siber saldırganlar, çeşitli e-posta adreslerinden ve farklı konu başlıklarıyla gönderilen sahte e-postalar aracılığıyla LastPass kullanıcılarını hedef alıyor. Bu e-postalar, planlı bir bakım öncesinde 24 saat içinde kasa yedeklemesi yapılması gerektiğini iddia ederek aciliyet yaratmaya çalışıyor. Ancak LastPass, müşterilerinden kasalarını yedeklemelerini istemediğini açıkça belirtti. Şirket, bunun kötü niyetli aktörlerin alıcıların zihninde aciliyet yaratma girişimi olduğunu ve sosyal mühendislik ile kimlik avı e-postalarında sıkça kullanılan bir taktik olduğunu vurguladı. LastPass, hiçbir zaman ana parolanızı istemeyeceğinin altını çizdi.
Bu kimlik avı e-postalarındaki "şimdi yedekle" bağlantısına tıklamak, kullanıcıları sahte bir web sitesine yönlendiriyor. Bu site, kullanıcıların ana parolalarını ele geçirmek ve böylece LastPass kasalarında saklanan hassas bilgileri (kullanıcı adları, parolalar, kredi kartı bilgileri ve güvenli notlar) ifşa etmek üzere tasarlanmıştır. Geçtiğimiz aylarda da benzer kimlik avı kampanyalarıyla karşılaşan LastPass, bu tür saldırıların sürekli hedefi konumunda. Saldırganların, ABD'deki Martin Luther King Jr. tatili gibi özel günleri seçmesi, dolandırıcılık faaliyetlerinin daha az çalışanın olduğu zamanlarda tespitini geciktirme amacı taşıyor. LastPass, kötü amaçlı alan adının en kısa sürede kapatılması için üçüncü taraf ortaklarıyla çalıştığını bildirdi. Kullanıcıların bu tür e-postalara karşı dikkatli olmaları ve şüpheli bağlantılara tıklamamaları büyük önem taşıyor.
Kullanıcıların hassas verilerini korumak için kimlik avı saldırılarına karşı sürekli tetikte olmaları gerektiğini ve sosyal mühendislik taktiklerini tanımaları gerektiğini gösteriyor.