Wie LastPass gebruikt als wachtwoordbeheerder, doet er goed aan extra waakzaam te zijn. De dienst waarschuwt voor een lopende phishingcampagne die erop gericht is om toegang te krijgen tot de digitale kluis van gebruikers, met daarin opgeslagen log-ins en persoonlijke gegevens.
Volgens LastPass zijn de eerste frauduleuze e-mails opgedoken op 19 januari. Belangrijk detail: het bedrijf benadrukt dat het géén berichten heeft verstuurd waarin gebruikers gevraagd worden om hun kluis binnen de 24 uur te back-uppen. De phishingmail bevat bovenaan een opvallende call-to-action met de tekst ‘Create Backup Now’, die verwijst naar een neplink. Wie daarop klikt, wordt eerst doorgestuurd naar een phishingpagina die gehost wordt via een Amazon S3-adres, waarna de gebruiker belandt op mail-lastpass.com. Voor alle duidelijkheid: dat domein heeft geen enkele band met LastPass.
De e-mails circuleren onder verschillende onderwerpregels, waaronder ‘Protect Your Passwords: Backup Your Vault (24-Hour Window)’, ‘LastPass Infrastructure Update: Secure Your Vault Now’ en ‘Don’t Miss Out: Backup Your Vault Before Maintenance’. Allemaal spelen ze in op tijdsdruk en angst om gegevens te verliezen.
Volgens LastPass is de timing geen toeval. De phishingcampagne zou bewust zijn gestart rond Martin Luther King Jr. Day in de Verenigde Staten, een officiële feestdag. Cybercriminelen hopen zo te profiteren van een periode waarin minder IT- en securitymedewerkers beschikbaar zijn om verdachte activiteiten snel op te merken of te blokkeren.
LastPass zegt samen te werken met partners om het valse domein zo snel mogelijk offline te halen. Tegelijk herhaalt het bedrijf een belangrijke basisregel: LastPass zal nooit via e-mail vragen om je master password, noch om dringende acties uit te voeren buiten de eigen officiële apps en tools. Gebruikers krijgen dan ook het advies om extreem voorzichtig te zijn met e-mails die zogezegd van LastPass afkomstig zijn en aandringen op onmiddellijke actie.
Het is overigens niet de eerste keer dat LastPass-gebruikers worden geviseerd. In oktober vorig jaar dook al een andere phishingcampagne op die inspeelde op de zogenoemde post-death legacy features, een functie waarmee noodtoegang tot een account kan worden geregeld na het overlijden van een gebruiker. De rode draad blijft dezelfde: criminelen proberen vertrouwen en verwarring uit te buiten om gevoelige gegevens los te krijgen. Voor wie een wachtwoordbeheerder gebruikt, blijft waakzaamheid dus minstens even belangrijk als sterke wachtwoorden.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
