LastPass warnte vor kurzem über eine Phishing-Kampagne, die als Wartungshinweis verkleidet ist und fordert Anwender, ihren Tresor in kürzester Zeit zu sichern. Betrügerische E-Mails versuchen, Eile und Vertrauen gleichzeitig zu erzeugen: Sie präsentieren eine vermeintliche Schaltfläche, um eine Sicherung zu erstellen, die auf eine falsche Website umleitet, wo Angreifer versuchen, Kontokontrolle oder das Master-Passwort des Benutzers zu erhalten.
Am wichtigsten ist, LastPass fragt nicht, Benutzer ihre Tresore in 24 Stunden zu sichern. Das Unternehmen erklärte dies in seiner offiziellen Erklärung und fordert, dass jeder Verdacht seinem Missbrauchsteam durch Missbrauch @ lastpass.com. Sie können die originale LastPass Anzeige auf Ihrem Blog lesen, um die Details und direkten Empfehlungen des Unternehmens zu sehen: LastPass: neue Phishing-Kampagne für Kunden.
Nach der Untersuchung seines Geheimdienstteams begann die Kampagne Mitte Januar und die Botschaften wurden aus Richtungen gesendet, um legitim zu erscheinen, zum Beispiel Varianten mit verdächtigen Domänen wie Unterstützung @ lastpass.server8 oder Support @ sr22vegas.com. Der Link zur Schaltfläche führt zu einer falschen Domain, die von LastPass als Post-lastpass.com die zum Zeitpunkt der Bekanntmachung außer Betrieb war, obwohl solche Seiten mit schnellen Variationen wiedererscheint werden können.
Der verwendete Haken ist klassisch: eine Mitteilung, die von einem "Infrastruktur-Update" oder einem "Wartungsfenster" spricht und die mit der Dringlichkeit überwindet, eine lokale Kopie zu erstellen, um den Zugriff nicht zu verlieren. Dieser Alarmsinn ist genau das, was die Angreifer suchen: eine schnelle Reaktion zu erzwingen und das Opfer daran zu hindern, ruhig zu denken oder die Authentizität der Botschaft zu überprüfen.
Warum ist es gefährlich?. Wenn jemand sein Master-Passwort eingibt oder Formulare in einer von einem Angreifer kontrollierten Website abschließt, besteht die Gefahr, dass der gesamte Tresor beeinträchtigt wird. Obwohl Passwort-Manager die Daten kodieren, bleibt das Master-Passwort der Schlüssel: Wer sie erfasst, kann den Inhalt entschlüsseln oder den Zugriff nutzen, um Sequenzen in anderen Diensten wiederherzustellen.
Darüber hinaus wählen schlechte Akteure oft Zeiten, in denen Unternehmen weniger verfügbar sein können, um schnell zu reagieren, wie öffentliche Feiertage, die die Wahrscheinlichkeit der Früherkennung und Minderung reduziert.
Was zu tun, wenn Sie eine dieser E-Mails erhalten. Drücken Sie keine Links oder laden Sie etwas aus der Nachricht herunter. Überprüfen Sie den eigentlichen Absender ruhig, übergeben Sie den Cursor über den Link, um die reale Adresse zu sehen, ohne zu klicken und öffnen Sie die offizielle Anwendung oder LastPass Web von Ihrem Browser, indem Sie die URL direkt oder mit einem sicheren Marker. Es aktiviert Multifactor-Authentifizierung, wenn Sie es nicht haben, überprüft die Login-Aktivität und die aktiven Sitzungen von Ihrem Konto, und ändert das Master-Passwort nur von den offiziellen Tracks, wenn Sie denken, dass es exponiert wurde.
Wenn Sie bereits Daten auf einer gefälschten Seite gaben, handeln Sie schnell: ändern Sie das Master-Passwort, widerrufen Sitzungen und Schlüssel, und betrachten Sie die Wiederherstellung von einer sicheren Kopie, wenn Ihr Manager erlaubt. Sie berichtet über den Vorfall an LastPass und die zuständigen Behörden oder Plattformen. Die nationalen Sicherheitszentren bieten für allgemeine Beratungen über die Anerkennung und Meldung von Phishing nützliche Ressourcen, beispielsweise die Empfehlungen des Nationalen Cyber Security Centre des Vereinigten Königreichs: NCSC - Phishing oder den Rat des CISA in den Vereinigten Staaten: CISA - Wie Sie sich vor Phishing schützen.
Es ist wichtig zu erinnern, dass LastPass und andere Passwort-Manager häufig Ziele sind, weil sie wertvolle Anmeldeinformationen zentralisieren. In den letzten Monaten wurden Kampagnen mit sehr unterschiedlichen Lures gesehen - von falschen Lücken Warnungen zu emotionalen Geschichten - die die Kreativität der Angreifer beweisen. Daher ist die ständige Empfehlung, unerwartete E-Mails zu zweifeln, die dringende Aktion fordern und immer über offizielle Kanäle überprüfen, bevor Sie Passwörter oder Download-Tools eingeben.
Die beste Verteidigung ist informiert Verdacht und digitale Vorsicht: nie senden Sie Ihr Master-Passwort in Reaktion auf eine E-Mail, vermeiden Sie folgende Links, um Ihr Konto zu verwalten, wenn Sie die App oder die offizielle Website eingeben können, und halten Sie die Multifaktor-Authentifizierung auf. Wenn Sie mehr Informationen benötigen oder eine E-Mail überprüfen möchten, behält LastPass die Support-Ressourcen auf der Hilfeseite: LastPass Support und denken Sie daran, jeden Versuch zu melden Missbrauch @ lastpass.com.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...