Nutzer des populären Passwort-Managers LastPass sind aktuell Ziel einer professionell gestalteten Phishing-Kampagne, die als scheinbar legitime Wartungsankündigung getarnt ist. Ziel der Angreifer ist es, das Master-Passwort der Opfer zu stehlen und damit Zugriff auf komplette Passwort-Tresore zu erhalten.
Neue Phishing-Kampagne gegen LastPass-Nutzer: So funktioniert der Angriff
Die Kampagne läuft nach aktuellen Erkenntnissen seit etwa dem 19. Januar und nutzt täuschend echt aussehende E-Mails, die angeblich vom LastPass-Support stammen. Als Absender werden unter anderem Adressen wie support@lastpass[.]server3 oder support@sr22vegas[.]com verwendet – Domains, die auf den ersten Blick seriös wirken sollen, aber nichts mit dem echten Anbieter zu tun haben.
Inhaltlich behaupten die Mails, es stünde eine technische Wartung der LastPass-Infrastruktur bevor. Nutzer müssten daher innerhalb von 24 Stunden ein verschlüsseltes lokales Backup ihres Tresors anlegen, um einen angeblichen Verlust des Zugriffs zu vermeiden. Ein prominent platzierter Button mit der Aufschrift Create Backup Now soll zum sofortigen Handeln verleiten.
Klickt ein Empfänger auf diesen Button, wird er nicht auf die offizielle Seite von LastPass, sondern auf die Domain mail-lastpass[.]com umgeleitet. Dort fordert eine nachgebaute Login-Oberfläche dazu auf, Benutzerkonto und Master-Passwort einzugeben. Die Oberfläche wirkt authentisch, ist aber vollständig unter Kontrolle der Angreifer, die auf diese Weise den zentralen Zugangsschlüssel zum Passwort-Tresor abgreifen.
Social Engineering und künstlich erzeugte Dringlichkeit
LastPass weist explizit darauf hin, dass der Dienst keine ultimative Frist von 24 Stunden für Backups per E-Mail setzt und Nutzer nicht zu derartigen Sofortmaßnahmen auffordert. Der enge Zeitrahmen ist ein typisches Element von Social Engineering: Druck und Stress sollen das kritische Denken ausschalten und dazu führen, dass Sicherheitsregeln ignoriert werden.
Verstärkt wird der Effekt dadurch, dass die Kampagne auf ein verlängertes Feiertagswochenende in den USA gelegt wurde. In solchen Phasen sind IT- und Security-Teams häufig nur eingeschränkt erreichbar, während Nutzer Entscheidungen allein treffen müssen. Verschiedene Studien, darunter Berichte der FBI Internet Crime Complaint Center (IC3), zeigen, dass Phishing-Angriffe in Randzeiten und an Feiertagen überdurchschnittlich erfolgreich sind.
Warum Passwort-Manager ein bevorzugtes Ziel für Phishing sind
Passwort-Manager wie LastPass, 1Password oder Bitwarden bündeln den Zugang zu einer Vielzahl von Diensten: von privater E-Mail über Cloud- und Social-Media-Konten bis hin zu Unternehmens-VPNs und Bankzugängen. Wer das Master-Passwort kompromittiert, erhält mit einem Schlag potenziell Zugriff auf Dutzende bis Hunderte von Konten.
Branchenberichte wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass Phishing einer der häufigsten Initialvektoren für Sicherheitsvorfälle ist. Besonders attraktiv sind Ziele, bei denen eine einzige erfolgreiche Anmeldung viele weitere Systeme öffnet – exakt das Szenario eines kompromittierten Passwort-Managers. Angreifer müssen keine einzelnen Passwörter mehr erraten, sondern hebeln den zentralen Tresor aus.
Frühere Phishing-Kampagnen gegen LastPass-Anwender
Die aktuelle Angriffswelle reiht sich in eine Serie gezielter Kampagnen gegen LastPass-Nutzer ein. In der Vergangenheit nutzten Kriminelle bereits komplexe Social-Engineering-Szenarien, um das Vertrauen von Anwendern und Support-Teams zu missbrauchen.
So wurde etwa im Oktober 2025 eine Kampagne dokumentiert, bei der gefälschte Sterbeurkunden von Kontoinhabern versendet wurden. Ziel war es, über vermeintliche Erbschafts- oder Nachlassprozesse die Übertragung des Zugangs zu Passwort-Tresoren an Dritte zu erwirken und so an sensible Daten zu gelangen.
In einem anderen Fall im September des Vorjahres forderten betrügerische E-Mails Nutzer dazu auf, angeblich «unsichere» Desktop-Clients durch eine «sicherere» Version zu ersetzen. Statt einer verbesserten Software installierten Betroffene jedoch Malware, die Zugangsdaten und weitere vertrauliche Informationen ausspähte.
Phishing-Mails von LastPass erkennen und das Master-Passwort schützen
Um das Risiko einer Kompromittierung des eigenen Passwort-Tresors zu minimieren, sollten Nutzer einige grundlegende Sicherheitsprinzipien beachten, die auch von Behörden wie dem BSI und der ENISA empfohlen werden.
1. Absenderdomain und Links konsequent prüfen. Legitime LastPass-Benachrichtigungen stammen aus der Domain lastpass.com. Abweichungen, zusätzliche Begriffe, ungewöhnliche TLDs oder kryptische Subdomains sollten sofort misstrauisch machen. Vor einem Klick lohnt sich ein Mouseover über Links, um die tatsächliche URL zu prüfen.
2. Ultimative Fristen und Drohungen misstrauisch bewerten. Formulierungen wie «innerhalb von 24 Stunden», «sofort handeln» oder «sonst wird Ihr Konto gesperrt» sind klassische Phishing-Indikatoren. Seriöse Anbieter setzen in der Regel auf neutrale, nachvollziehbare Hinweise statt auf Druck und Angst.
3. Master-Passwort niemals über E-Mail-Links eingeben. Der sicherste Weg führt immer über das offizielle Browser-Bookmark oder die App. Jede Nachricht, die direkt oder indirekt dazu auffordert, das Master-Passwort einzugeben, sollte als hochgradig verdächtig eingestuft werden.
4. Multi-Faktor-Authentifizierung (MFA) aktivieren. Selbst wenn ein Master-Passwort in falsche Hände gerät, kann eine zusätzliche Sicherheitsstufe – etwa ein Hardware-Token, eine Authenticator-App oder biometrische Faktoren – den Angriff stoppen oder zumindest erheblich erschweren.
Konkrete Sicherheitsmaßnahmen für Unternehmen und Privatnutzer
Für Unternehmen ist es entscheidend, regelmäßige Awareness-Schulungen durchzuführen und Phishing-Szenarien realitätsnah zu simulieren. Zahlreiche Studien belegen, dass wiederkehrende Trainings die Erfolgsquote von Phishing erheblich senken. Ergänzend sollten klare Vorgaben definiert werden, wie mit sicherheitsrelevanten E-Mails umzugehen ist und welche Kanäle für kritische Mitteilungen zulässig sind.
Privatanwender profitieren von einfachen Routinen: feste Lesezeichen für sicherheitskritische Dienste, konsequente Nutzung von MFA, regelmäßige Aktualisierung von Software und das Melden verdächtiger Nachrichten an den Anbieter. Ein gesundes Maß an Skepsis gegenüber unerwarteten «Sicherheitswarnungen» ist dabei oft die wirksamste Verteidigung.
Die aktuelle LastPass-Phishing-Kampagne verdeutlicht, dass selbst technisch solide abgesicherte Dienste verwundbar bleiben, wenn Angreifer erfolgreich den menschlichen Faktor ausnutzen. Wer aufmerksam mit E-Mails umgeht, strikte Regeln für den Umgang mit dem Master-Passwort befolgt, Multi-Faktor-Authentifizierung einsetzt und kontinuierlich in Sicherheitsbewusstsein investiert, reduziert das Risiko eines erfolgreichen Angriffs deutlich und stärkt den Schutz seiner digitalen Identität und Unternehmenswerte.
