Pada 2024, modus baru untuk membobol pengaturan password terdeteksi. Penipu memanfaatkan kit phishing tertentu untuk memudahkan pemalsuan formulir login di situs web dan menambahkan logo perusahaan yang diduga pemiliknya.
Perangkat ini didistribusikan secara daring oleh kelompok kriminal sebagai bagian dari penawaran phishing sebagai layanan.
Dalam kasus spesifik ini, halaman login pengelola kata sandi LastPass diretas menggunakan perangkat tersebut. Para penyerang kemudian memulai serangkaian panggilan otomatis yang berisi pesan rekaman yang menjelaskan bahwa ada perangkat baru yang mencoba mengakses akun LastPass.
Panggilan tersebut berasal dari orang sungguhan yang meminta alamat email dan kemudian mereka akan mengirim email kepada korban berisi petunjuk tentang cara mengatur ulang kata password utama.
Email ini terhubung ke situs web pelaku, tempat pelanggan diminta memasukkan password utama mereka sebelumnya. Setelah pelaku mendapatkan password, mereka masuk ke LastPass dan mengubah nomor telepon serta alamat email pemilik sehingga mereka tidak lagi memiliki akses.
Karena kontak pertama antara penipu dan korbannya adalah melalui telepon, metode ini dikenal sebagai vishing atau phishing suara.
Di sini pun, para penjahat mempercepat laju mereka sehingga orang yang mereka hubungi tidak punya waktu untuk berpikir. Karena pengelola password sering menyimpan banyak data akses untuk akun-akun penting, disarankan untuk mengamankannya dengan otentikasi dua faktor atau mengatur login dengan kunci sandi.