Phishing-Masche: Angreifer täuschen für Passwortklau Todesfälle vor
Der Passwortmanagerdienst Lastpass hat eine Warnung vor einer neuen Phishing-Masche herausgegeben, bei der Betroffene mit dem angeblichen Upload ihrer Sterbeurkunde unter Druck gesetzt werden. Laut Blogbeitrag des Dienstes(öffnet im neuen Fenster) läuft die Kampagne seit Mitte Oktober. Die Cryptochameleon genannte Angreifergruppe hat es demnach vor allem auf Diebstahl von Kryptowährungen abgesehen.
Bei Lastpass können Anwender einen sogenannten Notfallzugriff(öffnet im neuen Fenster) einrichten. Angehörige erhalten dann bei einem gesundheitlichen Notfall oder im Todesfall von Nutzern Zugriff auf deren Passwortdatenbank, um beispielsweise den digitalen Nachlass zu regeln. Eben diese Funktion missbrauchen die Angreifer nun, um Anwender zu unüberlegten Handlungen zu verleiten.
Die untersuchte Phishing-Mail kommt laut Lastpass augenscheinlich von der legitimen Absenderadresse alerts@lastpass.com. In der Mail heißt es, ein Familienangehöriger habe dem Dienstanbieter eine Sterbeurkunde vorgelegt und beantrage damit Zugriff auf den Passworttresor des Empfängers. Um diesen Vorgang zu unterbinden und selbst den Zugriff zu bewahren, werden die anvisierten Nutzer aufgefordert, auf einen Link zu klicken.
Angriffe finden auch per Telefon statt
Um die Phishing-Mail seriöser wirken zu lassen, gibt es darin weitere Angaben wie eine vermeintliche Sachbearbeiternummer, ein Falldatum sowie eine Fallpriorität. Der enthaltene Link führt jedoch zu einer von den Angreifern kontrollierten Domain (lastpassrecovery.com). Dort werden Anwender aufgefordert, ihr Master-Passwort einzugeben – obwohl die Mail selbst noch explizit von einer solchen Handlung abrät. "Geben Sie Ihr Master-Passwort niemals an Dritte weiter – auch nicht an uns" , heißt es darin.
Die Phishing-Kampagne ist überdies nicht auf den E-Mail-Versand beschränkt. Laut Lastpass kontaktieren die Angreifer ihre Opfer teilweise auch telefonisch und geben sich dabei als Lastpass-Vertreter aus. Auch bei diesen Telefonaten werden Nutzer aufgefordert, die Phishing-Seite der Angreifer zu besuchen und sich dort mit ihrem Master-Passwort zu authentifizieren.
Nutzer sollten Verdachtsfälle melden
Cryptochameleon wurde den Angaben zufolge schon früher mit zahlreichen Phishing-Kampagnen in Verbindung gebracht. Diese zielten unter anderem auf Nutzer der Kryptowährungsbörsen Binance und Coinbase sowie von Google-Diensten wie Gmail und Gemini ab. Eine umfangreiche Liste der beteiligten Domains ist am Ende des Lastpass-Blogbeitrags(öffnet im neuen Fenster) zu finden.
Der Passwortmanagerdienst versichert, aktiv gegen solche Kampagnen vorzugehen und bereits eine Abschaltung der jüngst verwendeten Phishing-Seite erwirkt zu haben. Es ist jedoch nicht auszuschließen, dass die Angreifer die Masche mit einer neuen Domain fortsetzen. Anwendern wird daher empfohlen, verdächtige Anrufe, SMS und E-Mails unter abuse@lastpass.com an Lastpass zu melden – idealerweise mit möglichst aussagekräftigen Details und Screenshots.
Lastpass hat bereits Erfahrung mit Kryptodieben. Bei einem Sicherheitsvorfall im Jahr 2022 konnten Angreifer die Passworttresore einiger Nutzer in ihren Besitz bringen. In den Monaten darauf kam es wiederholt zu Diebstählen aus Kryptowallets von Lastpass-Nutzern. Diese hatten wohl zu unsichere Master-Passwörter gewählt. Anfang 2024 hob Lastpass daraufhin deren Mindestlänge auf 12 Zeichen an .