Dünyanın en çok tercih edilen parola yönetim servislerinden biri olan LastPass, siber korsanların yeni hedefi haline geldi. Bu kez teknik bir açık değil, kullanıcıları kandırmaya yönelik "insan mühendisliği" taktikleri devrede.
Sinsi Yöntem: Sahte Yedekleme Uyarısı
Saldırganlar, LastPass'ten gelmiş gibi görünen son derece profesyonel e-postalar hazırlıyor. Mailin içeriğinde "Yedekleme işleminiz başarısız oldu" veya "Hesap bilgilerinizin güncellenmesi gerekiyor" gibi ifadeler kullanılarak kullanıcılar bir linke tıklamaya zorlanıyor.
Ana Parolayı Ele Geçiriyorlar
Linke tıkladığınızda karşınıza LastPass’in giriş sayfasının tıpatıp aynısı olan sahte bir sayfa çıkıyor. Eğer buraya "Master Password" (Ana Parola) bilgilerinizi girerseniz, tüm kayıtlı şifreleriniz siber korsanların eline geçiyor. Unutmayın; ana parolayı ele geçiren bir korsan, banka hesaplarınızdan sosyal medya hesaplarınıza kadar her kapıyı açabilir.
Uzmanlardan Hayati Uyarılar
Güvenlik uzmanları, bu ve benzeri saldırılardan korunmak için şu kurallara dikkat çekiyor:
Asla Link Üzerinden Giriş Yapmayın: LastPass veya herhangi bir servis, e-posta içindeki bir link üzerinden ana parolanızı talep etmez.
Gönderen Adresini Kontrol Edin: Mailin geldiği adresin resmi domain uzantısı (lastpass.com) olup olmadığını dikkatlice inceleyin.
İki Faktörlü Doğrulamayı (2FA) Açın: Şifreniz çalınsa bile, telefonunuza gelen onay kodu olmadan korsanların içeri girmesini engelleyen bu korumayı mutlaka aktif edin.
Kendi Yolunuzu Çizin: Bir hesabınızla ilgili sorun olduğuna dair mail alırsanız, maildeki linke tıklamak yerine tarayıcınızın adres çubuğuna sitenin ismini kendiniz yazarak giriş yapın.
