Hackere målretter LastPass-brugere med falske arveanmodninger, hvor de hævder, at et familiemedlem har uploadet en dødsattest for at få adgang til deres hvælving. Phishing-kampagnen, som blev opdaget i midten af oktober 2025, forbindes med den økonomisk motiverede trusselgruppe CryptoChameleon.
Phishing-kampagne udnytter LastPass’ arvefunktion
Angriberne sender e-mails, der efterligner LastPass’ legitime arveproces – en funktion, der gør det muligt for betroede kontakter at anmode om adgang til en brugers hvælving i tilfælde af død eller sygdom. Ofrene modtager beskeder, der opfordrer dem til at “annullere” anmodningen ved at klikke på et link, hvis de stadig er i live.
Linket fører til en falsk hjemmeside, lastpassrecovery[.]com, som efterligner den officielle login-side. Når brugerne indtaster deres legitimationsoplysninger, opsnapper angriberne deres hovedadgangskode og får fuld adgang til hvælvingerne.
Trusselsaktører retter sig også mod passkeys
Ifølge LastPass udvider CryptoChameleon nu sine metoder for at stjæle passkeys – en nyere, adgangskodeløs autentifikationsmetode, der bruges af moderne passwordadministratorer. Angriberne har registreret flere domæner, såsom mypasskey[.]info og passkeysetup[.]com, for at narre brugere til at indtaste deres oplysninger.
Nogle ofre har endda modtaget opkald fra svindlere, der udgiver sig for at være LastPass-medarbejdere og beder dem bekræfte deres konti på den falske hjemmeside.
Forbindelse til tidligere angreb
CryptoChameleon har en lang historie med phishing-kampagner rettet mod passwordadministratorer og kryptopunge, herunder Binance, Coinbase, Kraken og Gemini. Den samme gruppe angreb tidligere LastPass-brugere i 2024, men den nye kampagne er mere avanceret og omfattende.
LastPass blev også ramt af et stort databrud i 2022, hvor angribere stjal krypterede hvælving-sikkerhedskopier. Dette førte til sekundære angreb og omkring 4,4 millioner dollars i stjålet kryptovaluta.
Sådan kan brugere beskytte sig
LastPass opfordrer brugere til at ignorere uventede e-mails om arv eller adgangsanmodninger. Virksomheden anbefaler, at man kontrollerer alle notifikationer direkte i appen i stedet for at klikke på indlejrede links. Brugere bør også aktivere multifaktorautentifikation og undgå at genbruge adgangskoder på tværs af konti.
Konklusion
Den falske kampagne med LastPass-dødsanmodninger viser, hvordan social manipulation fortsat er et effektivt våben for cyberkriminelle. Ved at kombinere følelsesmæssig manipulation med legitime funktioner som arv-adgang kan angribere narre selv forsigtige brugere. Efterhånden som passwordadministratorer udvikler sig til at understøtte passkeys, vil nye phishing-teknikker fortsætte med at dukke op – hvilket gør årvågenhed afgørende for alle brugere.
0 svar til “Falske LastPass-dødsoplysninger brugt til at stjæle password-hvelve”