Hacker greifen LastPass-Nutzer mit gefälschten Erbschaftsanfragen an, in denen behauptet wird, ein Familienmitglied habe eine Sterbeurkunde hochgeladen, um Zugriff auf deren Tresor zu erhalten. Die Phishing-Kampagne, die Mitte Oktober 2025 entdeckt wurde, wird mit der finanziell motivierten Bedrohungsgruppe CryptoChameleon in Verbindung gebracht.
Phishing-Kampagne nutzt LastPass-Erbfunktion aus
Die Angreifer versenden E-Mails, die den legitimen Erbprozess von LastPass nachahmen – eine Funktion, die es vertrauenswürdigen Kontakten ermöglicht, im Falle eines Todesfalls oder einer Handlungsunfähigkeit Zugriff auf den Tresor eines Nutzers zu beantragen. Die Opfer erhalten Nachrichten, in denen sie aufgefordert werden, den Zugriffsantrag zu „stornieren“, indem sie auf einen Link klicken, falls sie noch am Leben sind.
Der Link führt zu einer gefälschten Website, lastpassrecovery[.]com, die die offizielle Login-Seite imitiert. Sobald die Nutzer ihre Zugangsdaten eingeben, fangen die Angreifer deren Master-Passwörter ab und erhalten vollen Zugriff auf die Passwort-Tresore.
Bedrohungsakteure zielen auch auf Passkeys ab
Laut LastPass erweitert CryptoChameleon derzeit seine Taktiken, um Passkeys zu stehlen – eine neuere, passwortlose Authentifizierungsmethode, die von modernen Passwort-Managern verwendet wird. Die Angreifer haben mehrere Domains registriert, darunter mypasskey[.]info und passkeysetup[.]com, um Nutzer dazu zu verleiten, ihre Anmeldedaten einzugeben.
Einige Opfer erhielten sogar Anrufe von Betrügern, die sich als LastPass-Mitarbeiter ausgaben und sie aufforderten, ihre Konten auf der gefälschten Website zu verifizieren.
Verbindung zu früheren Angriffen
CryptoChameleon hat eine lange Geschichte von Phishing-Kampagnen, die sich gegen Passwort-Manager und Krypto-Wallets richten, darunter Binance, Coinbase, Kraken und Gemini. Dieselbe Gruppe griff bereits 2024 LastPass-Nutzer an, doch die neue Kampagne ist deutlich ausgefeilter und weiter verbreitet.
LastPass erlitt außerdem 2022 einen schweren Sicherheitsvorfall, bei dem Angreifer verschlüsselte Tresor-Backups stahlen. Dies führte zu Folgeangriffen und etwa 4,4 Millionen US-Dollar an gestohlener Kryptowährung.
So können sich Nutzer schützen
LastPass rät Nutzern, unerwartete E-Mails zu Erbschafts- oder Zugriffsanfragen zu ignorieren. Das Unternehmen empfiehlt, Benachrichtigungen direkt in der App zu überprüfen, anstatt auf eingebettete Links zu klicken. Nutzer sollten außerdem die Multi-Faktor-Authentifizierung aktivieren und vermeiden, Passwörter mehrfach zu verwenden.
Fazit
Die gefälschte Kampagne mit angeblichen LastPass-Todesfällen zeigt, wie wirkungsvoll Social Engineering weiterhin für Cyberkriminelle ist. Durch die Kombination emotionaler Manipulation mit legitimen Funktionen wie der Erbfunktion können Angreifer selbst vorsichtige Nutzer täuschen. Da Passwort-Manager zunehmend Passkeys unterstützen, werden neue Phishing-Techniken weiterentwickelt – weshalb Wachsamkeit für alle Nutzer unerlässlich bleibt.
0 Kommentare zu „Gefälschte LastPass-Todesmeldungen wurden genutzt, um Passwort-Tresore zu stehlen“