۱۴۰۵/۰۴/۲۳🎣 BleepingComputer
📖 5 دقیقه

حمله فیشینگ به کاربران LastPass و Bitwarden با هشدارهای امنیتی جعلی

هشدار LastPass و Bitwarden درباره کمپین فیشینگ فعال با دامنه‌های جعلی و شبیه‌سازی پلتفرم DocuSign. راهکارهای مقابله و ارزیابی امنیت لایه‌های احراز هویت با افتاچک.

مدیریت‌کننده‌های رمز عبور محبوب LastPass و Bitwarden به طور همزمان به کاربران خود در مورد یک کمپین فیشینگ فعال هشدار داده‌اند. در این حملات، مهاجمان با ارسال ایمیل‌هایی از دامنه‌های جعلی مانند lastpassnewsletter[.]com و bitwardennewsletter[.]com و با ادعای به‌روزرسانی سیاست‌های امنیتی، کاربران را هدف قرار می‌دهند.

مهاجمان با استفاده از مهندسی اجتماعی، قربانیان را به صفحات فرودی شبیه به سرویس DocuSign هدایت کرده و آن‌ها را ترغیب به دانلود فایل‌های آلوده مخرب برای ویندوز و macOS یا افشای رمز عبور اصلی (Master Password) می‌کنند. شرکت LastPass تأکید کرده است که هرگز رمز عبور اصلی کاربران را از طریق ایمیل درخواست نخواهد کرد.

به کاربران توصیه شده است که در صورت تعامل با این پلتفرم‌های جعلی، فوراً رمز عبور اصلی خود را از طریق یک دستگاه امن تغییر داده و نشست‌های فعال خود را بازبینی کنند.

تکامل روزافزون این نوع حملات، لزوم آموزش مداوم پرسنل، پیاده‌سازی متدهای احراز هویت قوی و هاردنینگ سیستم‌های کلاینت را نشان می‌دهد.

افتاتچک می‌تواند با ممیزی امنیتی، هاردنینگ سرورها و سیستم‌ها، تست نفوذ و توسعه نرم‌افزار امن به کسب‌وکار شما کمک کند.

منبع این مقاله:BleepingComputer

این مقاله توسط تیم افتاچک ترجمه و خلاصه‌سازی شده است.