
تعرض مستخدمو اثنتين من أشهر خدمات إدارة كلمات المرور، هما خدمة LastPass وBitWarden، لحملة تصيد احتيالي جديدة، وذلك بعد رصد جهات خبيثة تنتحل هويتهما، في محاولة لخداع المستخدمين، ودفعهم إلى تسليم بيانات تسجيل الدخول الخاصة بهم إلى المهاجمين.
وأوضح موقع BleepingComputer، أن الحملة تعتمد على إرسال رسائل بريد إلكتروني مزيفة، تبدو وكأنها صادرة عن الخدمات الأصلية، من خلال إرسال رسائل إلى المستخدمين من عناوين بريد إلكتروني تستخدم أسماء مواقع تتضمن اسم الخدمة الحقيقي، مثل "hello@lastpassnewsletter.com"، وهو عنوان لا يتبع شركة LastPass ولا يرتبط بها بأي شكل، إلا أن تلك الحيلة توقع بالمستخدمين أحياناً.
وتزعم الرسائل أن سياسات الأمان الخاصة بالخدمة المنتحلة صفتها قد تم تحديثها، والأمر يتطلب من المستخدمين الانتقال إلى صفحة مخصصة، والتوقيع على مستند عبر خدمة التوقيع الإلكتروني DocuSign.
استراتيجية خبيثة
وتحتوي الرسالة على زر يحمل عبارة Review & Access Terms، لكن الضغط عليه ينقل الضحية إلى نطاق lastpasscompliance.com، وهو موقع لا علاقة له بمنصة إدارة كلمات المرور.
وجرى تصنيف هذا النطاق على أنه خبيث من قبل كل من Microsoft Defender Office 365 وكلاودفلير، كما أصبح خارج الخدمة حالياً بعد اكتشاف نشاطه الضار.
وخلال تتبع الحملة، اكتشف الباحثون هجوماً مشابهاً يستهدف مستخدمي "بيت واردن"، وفي هذه الحالة استخدم المهاجمون عنوان البريد "hello@bitwardennewsletter.com"، مع إعادة توجيه الضحايا إلى نطاق "bitwardencompliance.com".
"لا اختراق فعلي"
وتعتمد الحملة على المنهجية نفسها تقريباً مع تغيير بسيط في الهوية المستخدمة لاستهداف الضحايا.
وأفاد التقرير بأن أياً من شركتي "لاست باس"، أو "بيت واردن" لم تتعرض لاختراق فعلي نتيجة هذه الهجمات؛ فالبنية التحتية للشركتين لم تُمس، كما أن كلمات المرور المخزنة لدى المستخدمين لا تزال آمنة.
وتندرج هذه العملية ضمن ما يُعرف بهجمات انتحال النطاقات Domain Phishing، إذ يشتري المهاجمون أسماء نطاقات تشبه إلى حد كبير النطاقات الرسمية للشركات المعروفة، على أمل ألا يلاحظ المستخدمون الفروق البسيطة بينها وبين المواقع الحقيقية.
وينصح خبراء الأمن السيبراني المستخدمين بالتعامل بحذر مع أي رسائل بريد إلكتروني غير متوقعة، مع التحقق دائماً من عنوان المرسل والنطاق المستخدم قبل الضغط على أي رابط أو تحميل أي ملف، كما يُستحسن مقارنة الرسائل المشبوهة برسائل سابقة موثوقة صادرة بالفعل عن الشركة للتأكد من تطابق عناوين البريد والنطاقات المستخدمة.








