Hackere retter seg mot LastPass-brukere med falske arveforespørsler som hevder at et familiemedlem har lastet opp en dødsattest for å få tilgang til hvelvet deres. Phishing-kampanjen, som ble oppdaget i midten av oktober 2025, er knyttet til den økonomisk motiverte trusselgruppen CryptoChameleon.
Phishing-kampanje utnytter LastPass’ arvefunksjon
Angriperne sender e-poster som etterligner LastPass sin legitime arveprosess – en funksjon som lar betrodde kontakter be om tilgang til en brukers hvelv ved dødsfall eller sykdom. Ofrene mottar meldinger som oppfordrer dem til å «avbryte» forespørselen ved å klikke på en lenke hvis de fortsatt er i live.
Lenken leder til et falskt nettsted, lastpassrecovery[.]com, som kopierer den offisielle innloggingssiden. Når brukerne oppgir legitimasjonen sin, fanger angriperne opp hovedpassordet og får full tilgang til hvelvet.
Trusselaktører retter seg også mot passkeys
Ifølge LastPass utvider CryptoChameleon nå metodene sine for å stjele passkeys – en nyere, passordløs autentiseringsmetode som brukes av moderne passordadministratorer. Angriperne har registrert flere domener, som mypasskey[.]info og passkeysetup[.]com, for å lure brukere til å oppgi innloggingsinformasjon.
Noen ofre har til og med mottatt telefonsamtaler fra svindlere som utgir seg for å være LastPass-ansatte og ber dem verifisere kontoene sine på det falske nettstedet.
Kobling til tidligere angrep
CryptoChameleon har en lang historie med phishing-kampanjer rettet mot passordadministratorer og kryptolommebøker, inkludert Binance, Coinbase, Kraken og Gemini. Den samme gruppen angrep også LastPass-brukere i 2024, men den nye kampanjen er både mer avansert og mer omfattende.
LastPass ble også utsatt for et stort datainnbrudd i 2022, der angripere stjal krypterte hvelvkopier. Dette førte til sekundære angrep og omtrent 4,4 millioner dollar i stjålet kryptovaluta.
Hvordan brukere kan beskytte seg
LastPass oppfordrer brukere til å ignorere uventede e-poster om arv eller tilgangsforespørsler. Selskapet anbefaler å sjekke alle varsler direkte i appen i stedet for å klikke på innebygde lenker. Brukere bør også aktivere multifaktorautentisering og unngå å gjenbruke passord på tvers av kontoer.
Konklusjon
Den falske kampanjen med LastPass-dødsforespørsler viser hvordan sosial manipulering fortsatt er et effektivt våpen for cyberkriminelle. Ved å kombinere følelsesmessig påvirkning med legitime funksjoner som arvtilgang kan angripere lure selv forsiktige brukere. Etter hvert som passordadministratorer utvikles for å støtte passkeys, vil nye phishing-teknikker fortsette å dukke opp – og årvåkenhet forblir avgjørende for alle brukere.
0 svar til “Falske LastPass-dødsopplysninger brukt til å stjele passordhvelv”