Skip to content

LastPass Phishing-Kampagne informiert Benutzer über gefälschte Todesnachrichten

Diesen Post Teilen

Eine Phishingkampagne zielt auf LastPass-Benutzer mit gefälschten Benachrichtigungen ab, in denen mitgeteilt wird, dass jemand das Unternehmen über den Tod des Benutzers informiert hat und versucht, Zugang zu seinem Konto zu erhalten. Die E-Mails haben die Betreffzeile: „Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)“

LastPass beschreibt den folgenden Angriffsablauf:

  • „In der E-Mail wird behauptet, dass jemand aus der Familie des Empfängers einen Antrag auf Zugang zum Tresor des beabsichtigten Opfers als Legacy-Benutzer geöffnet hat, indem er eine Sterbeurkunde hochlädt.  

  • In der E-Mail heißt es weiter, dass ein aktueller Fall eröffnet wurde, und sie enthält gefälschte Informationen über einen angeblich mit dem Fall betrauten Agenten, darunter eine Agenten-ID-Nummer, das Datum, an dem der Fall eröffnet wurde, und die Priorität des Falls, die alle falsch sind.  

  • Die E-Mail enthält dann einen Link zum Abbrechen der Anfrage, der das beabsichtigte Opfer in Wirklichkeit auf die URL ‚https://lastpassrecovery[.]com‘ weiterleitet, wo das Opfer dann aufgefordert wird, sein Master-Passwort einzugeben, um Anmeldedaten zu fälschen.“

Bemerkenswert ist, dass die Angreifer die Empfänger der E-Mails auch anrufen und sich als LastPass-Vertreter ausgeben, was der Kampagne eine weitere Legitimitätsebene verleiht. Darüber hinaus haben es die Angreifer auf die Passwörter der Nutzer abgesehen.

„Viele der Phishing-Seiten zielen eindeutig auf Passkeys ab, was sowohl das gestiegene Interesse der Cyberkriminellen an Passkeys als auch die zunehmende Akzeptanz bei den Verbrauchern widerspiegelt“, so LastPass. „Zum Beispiel gibt es zahlreiche Variationen von „mypasskey[.]info“, die mit den bösartigen IPs verknüpft sind

LastPass betont, dass es niemals nach dem Master-Passwort fragen wird, und die Benutzer sollten ein gesundes Misstrauen bewahren, wenn sie unaufgeforderte E-Mails erhalten.

Schulungen zum Sicherheitsbewusstsein mit realistischen Phishing-Simulationen kann den Mitarbeitern helfen, wachsam zu sein, auch wenn sie beschäftigt sind. Wenn die Mitarbeiter wissen, dass sie simulierte Phishing-E-Mails erhalten werden, werden sie die echten eher erkennen.

LastPass hat die story.

Kostenloser Phishing-Sicherheitstest für Ihr Unternehmen

Wie anfällig sind Ihre Mitarbeitenden für Phishing?

Über 90 % aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-Mail. Finden Sie jetzt mit einem kostenlosen Test heraus, wie viele Ihrer Mitarbeitenden potenziell gefährdet sind – schnell, anonym und ohne Verpflichtung.

Das erwartet Sie:

  • Phishing-Test für bis zu 100 Mitarbeitende – kostenlos

  • In wenigen Minuten starten – keine Rücksprache nötig

  • Auswahl aus über 20 Sprachen und Szenarien

  • Detaillierte Auswertung als PDF-Bericht in 24 Stunden

  • Benchmark-Vergleich mit Ihrer Branche

  • Ideale Grundlage für Ihre interne Awareness-Strategie

Jetzt kostenlosen Sicherheitstest starten