Alors qu’une grande partie de nos vies est consacrée aux identités et aux plateformes numériques, vous voudrez peut-être réfléchir à la manière dont vos proches peuvent accéder à des choses comme vos comptes bancaires ou vos réseaux sociaux après avoir payé vos pièces au passeur. Le gestionnaire de mots de passe LastPass dispose d’une fonctionnalité qui peut transmettre vos informations d’identification à vos proches… et, sans surprise, elle est exploitée par des escroqueries par phishing.
Il s’agit d’une campagne sournoise et de mauvais goût, commençant par un e-mail usurpé de « (email protégé) » qui prétend que quelqu’un a téléchargé un certificat de décès pour demander l’accès à votre compte LastPass. C’est une chose alarmante à lire si vous êtes encore en vie, alors vous pourriez simplement baisser vos défenses assez longtemps pour cliquer sur le lien vers « lastpassrecovery(dot)com » dans le faux e-mail qui prétend arrêter le processus. Bam, vous avez donné votre mot de passe principal LastPass – ou éventuellement un mot de passe – à un escroc, et celui-ci a désormais accès à tous les mots de passe que vous avez stockés sur la plateforme. Selon le poste de sécurité, certains phishers sont en réalité appel des victimes (au téléphone, avec des voix humaines, comme c’est rétro !) se faisant passer pour des employés de LastPass et les dirigeant vers un faux site de connexion.
LastPass avertit les utilisateurs que la campagne de phishing est active depuis la mi-octobre et est liée au célèbre groupe CryptoChameleon, qui cible les portefeuilles et les connexions de crypto-monnaie pour des vols rapides et difficiles à récupérer. BleepingComputer rapporte que les escrocs ciblent les plateformes Binance, Coinbase, Kraken et Gemini.
Il convient de noter que LastPass fait disposez d’un système légitime de « testament numérique », et c’est une bonne idée d’en profiter, surtout si vous êtes plus âgé ou si vous avez des problèmes de santé urgents. Mais bien sûr, faites toujours attention à n’importe lequel e-mail qui vous demande de vous connecter à un service à l’aide d’un lien fourni. Les systèmes réels de LastPass n’ont pas été compromis dans cette attaque : il s’agit purement d’ingénierie sociale. La société a publié une liste des adresses IP associées à l’attaque ainsi qu’une longue liste d’URL associées.
Les gestionnaires de mots de passe sont un outil essentiel pour la plupart d’entre nous à ce stade, mais ils constituent également une cible juteuse en tant que point de défaillance unique. Gardez votre garde particulièrement élevée pour tout ce qui les concerne.
