Thought Leadership
Cyberkriminelle versenden derzeit E-Mails im Namen des Passwort-Manager-Anbieters LastPass, die Nutzer unter Zeitdruck setzen sollen. Das Unternehmen stellt klar: Die Nachrichten sind gefälscht.
Nutzer des Passwort-Managers LastPass sollten derzeit besonders wachsam sein. Wie das Unternehmen mitteilt, kursieren seit etwa dem 19. Januar betrügerische E-Mails, die vorgeben, von LastPass zu stammen. Die Nachrichten fordern Empfänger auf, schnellstmöglich ein Backup ihrer Passwort-Datenbank anzulegen.
LastPass ist ein Passwort-Manager, mit dem Nutzer ihre Login-Daten für verschiedene Dienste verschlüsselt in einem digitalen Tresor speichern können. Der Zugriff auf diesen Tresor erfolgt über ein Master-Passwort, das nur der Nutzer kennen sollte.
Klassisches Social Engineering mit Zeitdruck
Die Betreffzeilen der Phishing-Mails beziehen sich auf angebliche Wartungsarbeiten. Im Nachrichtentext werden die Empfänger angewiesen, innerhalb von 24 Stunden eine Sicherung ihres Tresors durchzuführen. Dazu enthält die E-Mail einen Link, der jedoch nicht auf die echte LastPass-Website führt, sondern auf eine nachgebaute Phishing-Seite mit gefälschter Domain. Dort sollen Opfer ihr Master-Passwort eingeben und damit direkt an die Angreifer übermitteln.
Das Unternehmen betont nachdrücklich, dass derartige Aufforderungen nicht von LastPass stammen und weist auf eine grundlegende Sicherheitsregel hin: Niemand bei LastPass werde jemals nach dem Master-Passwort fragen. Die Taktik, Empfänger durch künstliche Dringlichkeit zu unüberlegten Handlungen zu bewegen, sei typisch für Phishing- und Social-Engineering-Attacken.
Dauerhaftes Ziel von Angreifern
Phishing-Angriffe auf LastPass-Nutzer sind kein neues Phänomen. Sowohl die Kunden als auch das Unternehmen selbst waren in der Vergangenheit wiederholt Ziel von Cyberangriffen, darunter auch solche mit Deepfake-Technologie.
