Seit dieser Woche zielt eine raffinierte Phishing-Kampagne auf Nutzer des Passwort-Managers LastPass ab. Die Betrüger versenden gefälschte Wartungshinweise, um an die Master-Passwörter ihrer Opfer zu gelangen.
Gefälschte Wartungsmails erzeugen Zeitdruck
Die Angreifer verschicken E-Mails, die vorgeben, von LastPass selbst zu stammen. Sie warnen vor einem angeblichen dringenden Infrastruktur-Update. Um den Zugriff auf ihre Passwörter nicht zu verlieren, sollen Empfänger innerhalb von 24 Stunden eine lokale Sicherungskopie erstellen.
Die Betreffzeilen lauten etwa „Wichtig: LastPass-Wartung & Ihre Tresor-Sicherheit“. Ein Klick auf den Link „Backup jetzt erstellen“ führt jedoch nicht zu LastPass, sondern auf eine täuschend echte Phishing-Webseite. Dort sollen die Opfer ihr Master-Passwort preisgeben.
Passend zum Thema Phishing-Angriffe auf Passwort-Manager: Viele Betrüger arbeiten mit Zeitdruck, gefälschten Wartungsmails und getarnten Domains. Das kostenlose Anti-Phishing-Paket erklärt in einer praktischen 4-Schritte-Anleitung, wie Sie betrügerische E-Mails erkennen, Links und Domains prüfen, sichere lokale Backups anlegen und Mitarbeiter sensibilisieren. Der Report enthält konkrete Prüflisten und Vorlagen, die sich sofort umsetzen lassen. Anti-Phishing-Paket jetzt herunterladen
LastPass hat offiziell vor der Kampagne gewarnt. Das Unternehmen betont: Echte Mitarbeiter fragen niemals per E-Mail nach dem Master-Passwort oder setzen Nutzer derart unter Zeitdruck.
So tricksen die Kriminellen
Die Angreifer nutzen eine mehrstufige Infrastruktur, um ihre Spuren zu verwischen:
* Phishing-Links führen zunächst auf eine bei Amazon S3 gehostete Seite.
* Von dort werden Opfer sofort zur eigentlichen Betrugsdomain „mail-lastpass[.]com“ weitergeleitet.
* Die E-Mails kommen von Adressen wie „support@lastpass.server“ – sie wirken auf den ersten Blick legitim.
Sicherheitsexperten vermuten einen strategischen Zeitpunkt: Der Start der Kampagne fiel in den USA auf ein Feiertagswochenende. Angreifer hoffen dann auf langsamere Reaktionszeiten in IT-Abteilungen.
Immer neue Tricks für denselben Zweck
Die aktuelle Welle ist kein Einzelfall. Sie zeigt, wie hartnäckig Kriminelle versuchen, an die Generalschlüssel für digitale Identitäten zu kommen.
Bereits im Oktober 2025 gab es eine bemerkenswerte Kampagne. Damals lockten Betrüger mit gefälschten „Legacy Request“-Mails: Sie behaupteten, ein Familienmitglied habe nach einem angeblichen Todesfall den Notfallzugriff auf den Passwort-Tresor beantragt. Teilweise folgten sogar Anrufe von angeblichen LastPass-Mitarbeitern.
Die Methoden wechseln ständig – von gefälschten Todesfällen über angebliche Hacks bis zu den aktuellen Wartungsmeldungen. Das Ziel bleibt immer das wertvolle Master-Passwort.
So schützen Sie sich vor den Angriffen
Die Sicherheit Ihres Passwort-Tresors hängt entscheidend vom Schutz des Master-Passworts ab. Halten Sie sich an diese Grundregeln:
- Keine Links in verdächtigen Mails anklicken. Geben Sie die Webadresse Ihres Passwort-Managers immer manuell im Browser ein.
- Absenderadressen genau prüfen. Achten Sie auf kleine Abweichungen in der Schreibweise.
- Zwei-Faktor-Authentifizierung (2FA) aktivieren. Nutzen Sie eine Authenticator-App. Selbst mit dem Master-Passwort kommt ein Angreifer dann nicht in Ihren Tresor.
- Misstrauen bei unerwarteten Anrufen oder SMS. Seriöse Anbieter fragen nie telefonisch nach Ihrem Master-Passwort.
Die jüngsten Vorfälle machen klar: Die Jagd auf digitale Schlüsselbunde wird intensiver. Wachsamkeit und gesundes Misstrauen sind die beste Verteidigung.
PS: Schützen Sie Ihr Master-Passwort aktiv – statten Sie sich mit einer klaren Checkliste und Notfallstrategie aus. Das Anti-Phishing-Paket liefert einen kompakten Report mit Erkennungsregeln, praxisnahen Prüflisten, einer Anleitung für lokale Tresor-Backups und Tipps zur Zwei-Faktor-Authentifizierung. Besonders hilfreich nach Angriffen über S3-Hosts und gefälschte Support-Adressen. Jetzt Anti-Phishing-Guide sichern
