LastPass a récemment mis en garde contre une campagne d'hameçonnage déguisée en notice de maintenance et demande aux utilisateurs de sauvegarder leur chambre forte en très peu de temps. Les courriels frauduleux cherchent à générer la hâte et la confiance en même temps : ils présentent un bouton supposé pour « créer une sauvegarde » qui redirige vers un faux site où les attaquants essaient d'obtenir le contrôle de compte ou le mot de passe maître de l'utilisateur.
Plus important encore, LastPass ne demande pas aux utilisateurs de sauvegarder leurs coffres en 24 heures. La société a expliqué cela dans sa déclaration officielle et demande que tout soupçon soit signalé à son équipe d'abus par abus @ lastpass.com. Vous pouvez lire l'annonce originale LastPass sur votre blog pour voir les détails et les recommandations directes de l'entreprise: LastPass : nouvelle campagne d'hameçonnage pour les clients.
Selon l'enquête de son équipe de renseignement, la campagne a commencé à la mi-janvier et les messages ont été envoyés par des directions construites pour paraître légitimes, par exemple des variantes avec des domaines suspects tels que support @ lastpass.server8 ou soutien @ sr22vegas.com. Le lien vers le bouton conduit à un faux domaine signalé par LastPass comme mail-lastpass.com qui au moment de l'avis était hors service, bien que ces pages puissent être réapparues avec des variations rapides.
Le crochet utilisé est classique : un avis qui parle d'une "mise à jour de l'infrastructure" ou d'une "fenêtre d'entretien" et qui surmonte avec l'urgence de faire une copie locale afin de ne pas perdre l'accès. Ce sentiment d'alarme est précisément ce que les agresseurs recherchent : forcer une réaction rapide et empêcher la victime de penser calmement ou de vérifier l'authenticité du message.
Pourquoi est-ce dangereux?. Si quelqu'un entre son mot de passe maître, ou remplit des formulaires dans un site contrôlé par un attaquant, il y a un risque que la voûte entière soit compromise. Bien que les gestionnaires de mots de passe encodent les données, le mot de passe maître reste la clé : quiconque les capture peut déchiffrer le contenu ou utiliser l'accès pour commencer à rétablir des séquences dans d'autres services.
En outre, les mauvais acteurs choisissent souvent des moments où les entreprises peuvent être moins disponibles pour réagir rapidement, comme les jours fériés, ce qui réduit la probabilité de détection précoce et d'atténuation.
Que faire si vous obtenez un de ces courriels. Ne appuyez pas sur les liens ni ne téléchargez rien du message. Vérifiez l'expéditeur réel calmement, passez le curseur sur le lien pour voir l'adresse réelle sans cliquer et ouvrir l'application officielle ou LastPass web de votre navigateur en écrivant l'URL directement ou en utilisant un marqueur sécurisé. Il active l'authentification multifactor si vous ne l'avez pas, passe en revue l'activité de connexion et les sessions actives de votre compte, et change le mot de passe maître uniquement à partir des pistes officielles si vous pensez qu'il a été exposé.
Si vous avez déjà donné des données sur une fausse page, agissez rapidement : changez le mot de passe maître, révoquez les sessions et les clés, et envisagez de restaurer à partir d'une copie sécurisée si votre gestionnaire le permet. Il signale l'incident à LastPass et aux autorités ou plates-formes compétentes. Pour obtenir des directives générales sur la façon de reconnaître et de signaler le phishing, les centres nationaux de sécurité fournissent des ressources utiles, par exemple les recommandations du Centre national de cybersécurité du Royaume-Uni : NCSC - Phishing ou l'avis de la CISA aux États-Unis: CISA - Comment vous protéger du phishing.
Il est important de se rappeler que LastPass et d'autres gestionnaires de mots de passe sont des cibles fréquentes parce qu'ils centralisent des références précieuses. Ces derniers mois, des campagnes ont été vues avec des leurres très différents - des alertes fausses aux histoires émotionnelles - qui prouvent la créativité des attaquants. Par conséquent, la recommandation constante est de douter des courriels inattendus qui demandent une action urgente et toujours vérifier par les canaux officiels avant de saisir des mots de passe ou des outils de téléchargement.
La meilleure défense est la suspicion informée et la prudence numérique: ne jamais envoyer votre mot de passe maître en réponse à un courriel, éviter de suivre des liens pour gérer votre compte lorsque vous pouvez entrer l'application ou le site officiel, et garder l'authentification multifactorielle sur. Si vous avez besoin de plus d'informations ou si vous voulez vérifier un courriel, LastPass conserve les ressources de support sur sa page d'aide : Support LastPass et rappelez-vous de signaler toute tentative de abus @ lastpass.com.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...