Thought Leadership
Cyberkriminelle geben sich als LastPass-Support aus und fordern Opfer telefonisch zur Preisgabe ihrer Master-Passwörter auf. Die Angriffswelle richtet sich auch gegen Passkey-Nutzer.
Seit Mitte Oktober läuft eine professionell orchestrierte Phishing-Kampagne gegen Nutzer des Passwort-Managers LastPass, wie das Unternehmen nun warnt. Die Angreifer setzen auf eine Kombination aus gefälschten E-Mails und direkten Telefonanrufen, also klassisches Social Engineering.
Masche mit gefälschten Sterbeurkunden
Die Betrüger versenden E-Mails, die scheinbar von der offiziellen LastPass-Adresse “[email protected]” stammen. Die Betreffzeile lautet bedrohlich: “Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)” – auf Deutsch etwa: “Nachlass-Anfrage eröffnet (DRINGEND, FALLS SIE NICHT VERSTORBEN SIND)”.
Der Inhalt der Nachricht behauptet, ein Familienmitglied habe durch Vorlage einer Sterbeurkunde Zugriff auf den Tresor des Empfängers als Legacy-User beantragt. Die E-Mail enthält erfundene Details zu einem angeblich eröffneten Fall, inklusive Agenten-ID, Fallnummer und Prioritätsstufe.
Ein eingebetteter Link soll das Stornieren der Anfrage ermöglichen, führt jedoch zur Phishing-Seite “lastpassrecovery.com”. Dort werden Opfer aufgefordert, ihr Master-Passwort einzugeben, der Schlüssel zu sämtlichen gespeicherten Zugangsdaten.
Telefonische Nachfassaktion erhöht Erfolgschancen
Die Angreifer rufen potenzielle Opfer zusätzlich an, geben sich als LastPass-Mitarbeiter aus und drängen sie, die Phishing-Website aufzurufen. Diese Kombination aus E-Mail und Telefon macht die Kampagne deutlich gefährlicher als übliche Phishing-Versuche.
Verbindung zur Cybercrime-Gruppe CryptoChameleon
Google Threat Intelligence ordnet die verwendeten URLs der Hackergruppe CryptoChameleon (auch bekannt als UNC5356) zu. Die Gruppe hat es primär auf Kryptowährungen abgesehen und nutzte bereits im April 2024 LastPass-Markenzeichen für Phishing-Angriffe.
Die Infrastruktur der Kampagne weist typische Merkmale professioneller Cyberkriminalität auf: Die Phishing-Seiten werden über den “Bulletproof-Hoster” NICENIC betrieben, der dafür bekannt ist, schädliche Inhalte zu dulden.
Passkeys im Visier der Angreifer
Bemerkenswert ist, dass mehrere der entdeckten Phishing-Seiten speziell auf Passkeys abzielen, etwa durch Domains wie “mypasskey.info” in verschiedenen Varianten. Dies spiegelt das wachsende Interesse von Cyberkriminellen an der zunehmend verbreiteten passwortlosen Authentifizierungsmethode wider.
Empfehlungen für Betroffene
LastPass hat die initiale Phishing-Seite bereits vom Netz nehmen lassen, warnt jedoch vor weiteren Angriffen. Nutzer sollten folgende Maßnahmen beachten:
- Bei verdächtigen Anrufen angeblicher LastPass-Mitarbeiter sofort auflegen und Details an [email protected] senden
- Verdächtige SMS per Screenshot an [email protected] weiterleiten
- Phishing-E-Mails als Anhang an [email protected] weiterleiten
LastPass betont ausdrücklich: Kein Mitarbeiter des Unternehmens wird jemals nach dem Master-Passwort fragen – weder per E-Mail noch telefonisch. Das Master-Passwort sollte grundsätzlich niemals an Dritte weitergegeben werden.
