Bluffmail som ser ut att komma från LastPass jagar det viktigaste lösenordet du har.
En aktiv nätfiskekampanj lockar användare av LastPass och Bitwarden att lämna ifrån sig sitt masterlösenord via falska säkerhetsnotiser. Meddelandena är utformade för att likna officiella mail från lösenordshanterarna, och länken i mailet leder till en sida som imiterar DocuSign.
LastPass varnade sina kunder tidigare denna vecka och uppger att bolagets egna system inte har brutits, utan att aktiviteten är begränsad till en extern nätfiskeoperation. Även Bitwarden-användare rapporteras få mail med samma upplägg.
Så ser bluffmailet ut
Avsändaradressen är [email protected] och ämnesraden lyder ”Action Required: Review Updated LastPass Security Policies”. I meddelandet påstås att LastPass har uppdaterat sina säkerhetspolicyer och att mottagaren måste granska ett dokument via en inbäddad länk.
Länken leder inte till LastPass utan till lastpasscompliance.com, en sajt som är uppbyggd för att se ut som DocuSign. Där uppmanas offret att logga in med sitt LastPass-konto, varpå masterlösenordet fångas upp av angriparna. Ingen av de två domänerna är kopplade till bolaget.
Ett lösenord kan låsa upp allt
För en genomsnittlig svensk konsument med tiotals konton samlade i en lösenordshanterare är masterlösenordet den enda spärren mellan angriparen och samtliga inloggningar, från bank till mail. Företaget skriver rakt ut att ingen anställd någonsin kommer att fråga efter det: ”Kom ihåg att ingen på LastPass någonsin kommer att fråga efter ditt masterlösenord.”
Har du klickat på länken och angett dina uppgifter bör du omedelbart byta masterlösenord från en enhet du litar på och gå igenom valvet efter tecken på obehörig aktivitet. Misstänkta mail kan rapporteras till [email protected].
Tredje kampanjen i år
Det är tredje gången i år som LastPass-användare pekas ut i en storskalig nätfiskekampanj. I januari skickades falska underhållsvarningar som pressade mottagarna att säkerhetskopiera valvet inom 24 timmar. I mars använde angriparna påhittade mailkedjor som gav sken av att någon försökt logga in på kontot.
Mönstret är detsamma varje gång: skapa brådska, härma en känd tjänst och locka fram lösenordet i ett falskt formulär. Det säkraste sättet att undvika bluffen är att aldrig logga in på lösenordshanteraren via en länk i ett mail. Öppna appen direkt eller skriv in adressen själv i webbläsaren.