LastPass alerta para campanha de phishing que rouba senhas mestras de usuários
Por Jaqueline Sousa • Editado por Jones Oliveira |
A LastPass, plataforma de gerenciamento de senhas, alertou os usuários a respeito de uma nova campanha de phishing que rouba credenciais mestras das vítimas.
- Multiplan confirma acesso indevido à base de dados de clientes em aplicativo
- Novo malware finge ser editor de PDF para ganhar acesso contínuo a PC de vítimas
Segundo a empresa, os cibercriminosos fingem ser a LastPass com o envio de e-mails de phishing que alegam uma suposta manutenção iminente no sistema. A mensagem falsa incentiva o usuário a criar um backup local para suas senhas em um período de 24 horas, apostando em engenharia social para criar um senso de urgência.
A análise do caso identificou que a campanha é recente e, para além da janela de 24 horas estipulada para o backup, os e-mails falsos usam o nome da LastPass para passar credibilidade com mensagens de atualização da infraestrutura para proteção de cofres dos clientes.
Senhas em risco
A investigação da campanha levou a LastPass a detectar que os e-mails foram arquitetados para direcionar os usuários para um site de phishing que, logo em seguida, redireciona a vítima para o domínio corrompido "mail-lastpass[.]com". É neste momento que os criminosos conseguem obter acesso às chaves mestras do alvo, sem precisar de táticas complexas para concretizar o roubo.
Em resposta ao ataque, a LastPass garantiu que a plataforma “nunca solicitará a senha mestra, nem exigirá ação imediata sob prazos apertados”.
O serviço comentou também que trabalha com um parceiro terceirizado para desmantelar a campanha antes que novos casos venham à tona.
Leia também:
- Como saber se uma senha vazou na Internet? 3 meios para verificar exposições
- 5 apps gerenciadores de senhas gratuitos e confiáveis
- Conheça as senhas mais usadas no Brasil em 2025 e por recorte de gerações
Fonte: The Hacker News