LastPass warnt vor Phishing-Kampagne | heise online

Aktuell läuft eine Phishing-Welle, die es auf Nutzerinnen und Nutzer des Passwort-Managers LastPass abgesehen hat. Dem Anbieter zufolge begann der Betrugsmailsversand etwa am Montag dieser Woche.

Davor warnt LastPass in einem aktuellen Blog-Beitrag. Die betrügerischen E-Mails stammen demnach von unterschiedlichen Absendern mit variierenden Betreffzeilen. Sie behaupten, dass LastPass eine Wartung vornehmen wolle, und drängen User, ein Backup ihrer Passwort-Vaults innerhalb der kommenden 24 Stunden vorzunehmen.

LastPass weist eindringlich darauf hin, dass das Unternehmen Kunden nicht darum bittet, Backups der Vaults in den nächsten 24 Stunden anzulegen. Es handele sich viel mehr um den Versuch bösartiger Akteure, eine Dringlichkeit beim Empfänger zu erzeugen, „eine übliche Vorgehensweise für Social Engineering und Phishing-E-Mails“, schreibt LastPass weiter. Der Zeitpunkt sei ebenfalls nach üblicher Taktik gewählt und falle auf ein Urlaubswochenende in den USA. Durch weniger arbeitende Menschen soll die Entdeckung der Phishing-Welle länger dauern.

Vermeintliche Backups der Passwort-Vaults

Der Call-to-Action-Button der Mail suggeriert, dass er Opfer auf eine Webseite bringt, auf der sie ein Backup ihres Passwort-Vaults anlegen können. Tatsächlich landen diejenigen, die ihn anklicken, jedoch auf der URL „group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf“, die ihrerseits eine Weiterleitung auf die URL „mail-lastpass[.]com“ vornimmt.

„Niemand bei LastPass wird jemals nach deinem Master-Kennwort fragen“, erklärt LastPass weiter. Das Unternehmen arbeitet mit Partnern daran, diese Domains so rasch wie möglich Hops zu nehmen. LastPass-Kunden sollten aufmerksam bleiben und im Zweifel der Echtheit einer LastPass-Mail dieser besser an die E-Mail-Adresse abuse@lastpass.com senden und dort verifizieren lassen.

Einige Hinweise für Phishing hat LastPass ebenfalls zusammengetragen. Darunter fallen folgende E-Mail-Adresse, URLs und IPs:

• „group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf“, IP-Adresse 52.95.155[.]90
• mail-lastpass[.]com,. IP-Adressen 104.21.86[.]78, 172.67.216[.]232 sowie 188.114.97[.]3
• support@sr22vegas[.]com, support@lastpass[.]server8, support@lastpass[.]server7, support@lastpass[.]server3
• IP-Adressen dazu 192.168.16[.]19 und 172.23.182.202

Die Mails tragen Betreffzeilen wie

• „LastPass Infrastructure Update: Secure Your Vault Now“
• „Your Data, Your Protection: Create a Backup Before Maintenance“
• „Don’t Miss Out: Backup Your Vault Before Maintenance“
• „Important: LastPass Maintenance & Your Vault Security“
• „Protect Your Passwords: Backup Your Vault (24-Hour Window)“

LastPass weckt des Öfteren Interesse von Cyberkriminellen. Etwa im September 2023 gab es Anzeichen dafür, dass Angreifer LastPass-Passworttresore kopiert und diese zu knacken versucht haben. Anfang 2024 hat LastPass dann an verbesserter Sicherheit gearbeitet, etwa mit einer Minimallänge von zwölf Zeichen für ein Masterkennwort und dessen Abgleich mit in Leaks bekanntgewordenen Passwörtern.

(dmk)