شرکت LastPass هشدار داده که یک کمپین کلاهبرداری در حال انجام است که در آن کلاهبرداران در بخش نظرات افزونه کروم LastPass در فروشگاه وب کروم، نظراتی مینویسند تا شماره تلفن پشتیبانی جعلی را تبلیغ کنند.
اما مشکل اصلی این است که این شماره تلفن جعلی بخشی از یک کمپین بزرگتر است که هدفش فریب افراد برای تماس گرفتن است. وقتی افراد با این شماره تماس میگیرند، کلاهبرداران سعی میکنند آنها را متقاعد کنند تا دسترسی از راه دور به کامپیوتر خود را به کلاهبرداران بدهند.
LastPass یک نرمافزار محبوب مدیریت رمز عبور است که از یک افزونه کروم مخصوص به نام LastPass Chrome extension استفاده میکند. این افزونه به کاربران کمک میکند تا رمزهای عبور را ایجاد، ذخیره، مدیریت و بهطور خودکار در فرمهای وبسایتها وارد کنند.
این کلاهبرداران با دادن امتیاز بالا به افزونه یا برنامه LastPass و قرار دادن شماره تماس جعلی در بخش نظرات، سعی دارند کاربران را فریب دهند تا با این شماره تماس بگیرند و سپس اطلاعات آنها را سرقت کنند.
در این نظرات به کاربران توصیه شده که اگر در استفاده از برنامه LastPass با مشکلی مواجه شدند، با «مرکز پشتیبانی آنلاین LastPass» به شماره ۸۰۵-۲۰۶-۲۸۹۲ تماس بگیرند؛ در حالی که این شماره هیچ ارتباطی با شرکت اصلی (LastPass) ندارد.
وقتی کاربران با شماره جعلی تماس میگیرند، شخص کلاهبرداری پاسخ میدهد که خود را بهعنوان نمایندهی LastPass جا میزند. این کلاهبردار سپس تماسگیرندگان را به سایتی به آدرس “dghelp[.]top” هدایت میکند، جایی که باید یک کد وارد کنند تا برنامهای برای پشتیبانی از راه دور دانلود شود.
LastPass توضیح داده که وقتی افراد با شماره پشتیبانی جعلی تماس میگیرند، شخصی پاسخ میدهد که ابتدا میپرسد کاربران در استفاده از کدام محصول مشکل دارند. سپس، این شخص چندین سوال دیگر میپرسد، از جمله اینکه آیا کاربر تلاش میکند با استفاده از کامپیوتر یا دستگاه موبایل به LastPass دسترسی پیدا کند و اینکه از کدام سیستمعامل استفاده میکنند.
پس از تماس، کلاهبردار تماسگیرنده را به سایت dghelp[.]top هدایت میکند و در همین حال روی خط میماند. هدف او این است که قربانی احتمالی را ترغیب کند تا با این سایت تعامل داشته باشد و در این فرایند، اطلاعات شخصی خود را در معرض خطر قرار دهد.
طبق گزارش virustotal وارد کردن کد در این صفحه به دانلود یک عامل نرمافزاری به نام ConnectWise ScreenConnect (که به عنوان یک ابزار پشتیبانی از راه دور شناخته میشود) منجر میشود. این نرمافزار به کلاهبردار اجازه میدهد تا بهطور کامل به کامپیوتر فرد دسترسی پیدا کند.
از آن نقطه به بعد، یک کلاهبردار میتواند با پرسیدن سوالاتی، تماسگیرنده را مشغول نگه دارد. در عین حال، کلاهبردار دیگری در پسزمینه از نرمافزار ScreenConnect استفاده میکند تا برنامههای دیگری را برای دسترسی از راه دور بدون نیاز به نظارت کاربر نصب کند، دادهها را سرقت کند یا اطلاعات را از کامپیوتر قربانی به سرقت ببرد.
این تحقیق نشان میدهد که کلاهبرداران از این سایتها برای ارتباط با نرمافزار ScreenConnect استفاده میکنند و این وبسایتها در گذشته به یک آدرس IP مشخص در اوکراین مربوط میشدند، که ممکن است به ردیابی و شناسایی آنها کمک کند. پنهان شدن این سایتها پشت Cloudflare به آنها کمک میکند تا از شناسایی و مسدود شدن جلوگیری کنند.
به کاربران LastPass یادآوری میشود که هرگز نباید رمز عبور اصلی (master password) خود را با هیچکس، حتی با پشتیبانی قانونی مشتری، به اشتراک بگذارند. زیرا این کار به فرد دیگر دسترسی کامل به تمام رمزها و دادههای ذخیره شده در LastPass vaultsرا میدهد.
این موضوع به یک کمپین بزرگتر از کلاهبرداریها یا تقلبها مرتبط است.
این شماره تلفن فقط به یک مرکز پشتیبانی تقلبی محدود نمیشود، بلکه بخشی از یک طرح یا فعالیت گستردهتر از کلاهبرداریها است که میتواند شامل روشها و تکنیکهای متعدد برای فریب دادن کاربران باشد. این نشاندهندهی سازماندهی و مقیاس وسیعتر کلاهبرداری است.
شماره تلفن ۸۰۵-۲۰۶-۲۸۹۲ نیز به عنوان یک شماره پشتیبانی برای تعداد زیادی از شرکتهای دیگر، از جمله Amazon، Adobe، Facebook، Hulu، YouTube TV، Peacock TV، Verizon، Netflix، Roku، PayPal، Squarespace، Grammarly، iCloud، Ticketmaster و Capital One تبلیغ شده است.
کلاهبرداران از پلتفرمهای مختلف و رسانههای اجتماعی برای ترویج این شمارههای تقلبی استفاده میکنند تا بیشتر افراد را فریب دهند و اعتماد آنها را جلب کنند. این نشاندهندهی تلاشهای گستردهتر کلاهبرداران برای گسترش دامنهی فعالیتهای خود و دسترسی به کاربران در مکانهای مختلف آنلاین است.
اگرچه برخی از محتواهای جعلی یا مشکوک بلافاصله شناسایی و حذف میشوند، اما همچنان تعدادی از آنها باقی میمانند و کلاهبرداران به طور مداوم در حال ایجاد محتوای جدید برای فریب کاربران هستند. این نشاندهندهی تلاش مداوم کلاهبرداران برای نفوذ و جذب قربانیان است.