Recentemente, o LastPass alertou sobre uma campanha de phishing que se disfarça como um aviso de manutenção e pede aos usuários que façam uma cópia de segurança de sua bóveda em um prazo muito curto. Os e-mails fraudulentos buscam gerar pressa e confiança ao mesmo tempo: eles apresentam um suposto botão para “criar uma cópia de segurança” que redirecione um site falso onde os atacantes tentam fazer com o controle de contas ou com a senha-prima do usuário.
O mais importante: o LastPass não está solicitando a usuários que apoiem suas bóvedas em 24 horas. A empresa explicou-o em seu comunicado oficial e pede que qualquer suspeita se informe a sua equipe de abuso mediante abuse@ lastpass.com. Você pode ler o aviso original do LastPass em seu blog para ver detalhes e recomendações diretas da empresa: LastPass: nova campanha de phishing dirigida a clientes.
Segundo a pesquisa de sua equipe de inteligência, a campanha começou em meados de janeiro e as mensagens foram enviadas de direções construídas para parecer legítimas, por exemplo variantes com domínios suspeitos como [email protected] ou [email protected]. A ligação do botão leva a um domínio falso relatado pelo LastPass como mail- lastpass.com, que no momento do aviso estava fora de serviço, embora esse tipo de páginas possa reaparecer com variações rapidamente.
O gancho empregado é clássico: um aviso que fala de uma “atualização de infraestrutura” ou de uma “janela de manutenção” e que remata com a urgência de fazer uma cópia local para não perder acesso. Esse sentido de alarme é precisamente o que os atacantes procuram: forçar uma reação rápida e evitar que a vítima pense com calma ou verifique a autenticidade da mensagem.
Por que é perigoso. Se alguém introduz a sua senha-prima, ou todos os formulários num site controlado por um atacante, corre o risco de abóbada inteira estar comprometida. Embora os gestores de senhas cifram os dados, a senha-prima continua a ser a chave: quem a capture pode decifrar o conteúdo ou usar o acesso para iniciar sequências de restabelecimento em outros serviços.
Além disso, os maus atores costumam escolher momentos em que as empresas podem estar menos disponíveis para responder rapidamente, por exemplo, fins de semana festivos, o que reduz a probabilidade de uma detecção e mitigação precoce.
O que fazer se você receber um desses e-mails. Não carregue em links nem baixe nada da mensagem. Verifique com calma o remetente real, passe o cursor acima da ligação para ver o endereço real sem clicar e abra a aplicação oficial ou a web do LastPass do seu navegador escrevendo o URL diretamente ou usando um marcador seguro. Activa a autenticação multifator se você não tiver, verifique a atividade de início de sessão e as sessões ativas da sua conta, e mude a senha-prima somente das vias oficiais se você acha que pode ter sido exposta.
Se você já deu dados em uma página falsa, age rapidamente: muda a senha-prima, revoga sessões e chaves, e considera restaurar de uma cópia segura se o seu gestor o permitir. Reporta o incidente ao LastPass e às autoridades ou plataformas correspondentes. Para guia geral sobre como reconhecer e reportar phishing, os centros de segurança nacionais oferecem recursos úteis, por exemplo as recomendações do Centro Nacional de Segurança Cibernética do Reino Unido: NCSC – Phishing, ou os conselhos do CISA nos Estados Unidos: CISA – How to protect yourself from phishing.
É importante lembrar que o LastPass e outros gestores de senhas são objetivos frequentes porque centralizam credenciais valiosas. Nos últimos meses, campanhas com senhões muito diferentes – desde falsos alertas de brechas até histórias emocionais – provam a criatividade dos atacantes. Por isso a recomendação constante é duvidar de e-mails inesperados que peçam ações urgentes e verificar sempre por canais oficiais antes de introduzir senhas ou descarregar ferramentas.
A melhor defesa é a suspeita informada e a prudência digital: Nunca envie a sua senha-prima em resposta a um e-mail, evita seguir links para gerenciar sua conta quando você puder entrar pela app ou site oficial, e mantenha a autenticação multifator ativada. Se precisar de mais informações ou quiser verificar um e-mail, o LastPass mantém recursos de suporte na sua página de ajuda: Suporte do LastPass, e lembre-se de relatar qualquer tentativa a abuse@ lastpass.com.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...