Nutzerinnen und Nutzer des Passwortmanagers LastPass sehen sich seit Mitte Oktober 2025 einer breit angelegten Phishing-Welle gegenüber. Angreifer imitieren legitime Emergency-Access-Benachrichtigungen („Notfallzugriff“), inszenieren die angebliche Nachlassregelung bei Todesfall und drängen zu sofortigem Handeln. Ziel ist die Abgriffskette aus Master-Passwörtern, Sitzungstoken und zunehmend auch Passkeys.
Missbrauch des Notfallzugriffs: Wie die Täuschung funktioniert
Der legitime LastPass-Mechanismus erlaubt vertrauenswürdigen Kontakten, im Ernstfall Zugriff zu beantragen; wird der Antrag nicht rechtzeitig abgelehnt, erfolgt eine automatische Freigabe. Die aktuelle Kampagne fälscht diese Benachrichtigungen, behauptet, ein Familienmitglied habe eine Sterbeurkunde hochgeladen, und versieht die Mail mit einem pseudo-authentischen Antrags-ID. Über den Button „Anfrage widerrufen“ landen Opfer auf lastpassrecovery[.]com, wo sie zur Eingabe des Master-Passworts verleitet werden.
In mehreren Fällen wird die E-Mail durch Vishing flankiert: Telefonanrufe geben sich als LastPass-Support aus und drängen zur „Bestätigung“ auf der gefälschten Seite. Wichtig: LastPass fordert niemals die Eingabe des Master-Passworts per E-Mail oder Telefon.
Täterprofil: CryptoChameleon (UNC5356) mit Fokus auf Krypto
Nach übereinstimmender Einschätzung von Analysten handelt es sich um die finanzmotivierte Gruppe CryptoChameleon (UNC5356), bekannt für Angriffe auf Krypto-Assets. Die Akteure kombinierten bereits in früheren Kampagnen (u. a. April 2024) überzeugendes Social Engineering mit Phishing, Smishing und Vishing, um Konversionsraten zu erhöhen.
Technische Weiterentwicklung: Von Passwörtern zu Passkeys
Die Kampagne spiegelt einen breiteren Trend wider: Angreifer zielen nicht nur auf Passwörter, sondern auch auf Passkeys (FIDO2/WebAuthn). Passkeys ermöglichen passwortlosen Login via asymmetrischer Kryptografie und werden von Google, Apple und Microsoft forciert; führende Passwortmanager wie LastPass, 1Password, Dashlane und Bitwarden synchronisieren sie bereits. Die Kriminellen versuchen, diese Entwicklung zu unterlaufen, indem sie Registrierungs- und Wiederherstellungs-Workflows manipulieren und so neue Schlüssel auf kompromittierte Geräte einschleusen.
Phishing-Infrastruktur: Domains, gefälschte Logins und Token-Diebstahl
Die Infrastruktur umfasst passkey-bezogene Domains wie mypasskey[.]info und passkeysetup[.]com. Zusätzlich werden täuschend echte Login-Seiten für Okta, Gmail, iCloud und Outlook bereitgestellt, um Anmeldedaten sowie Sitzungstoken abzugreifen. Für Krypto-Ziele kursieren spezifische Kits, die Wallet- und Börsen-Logins imitieren (Binance, Coinbase, Kraken, Gemini), um Transaktionen zu kapern.
Risikoanalyse: Master-Passwort, Sessions und Schlüsselbindung
Gelangen Master-Passwort und aktive Sitzung in falsche Hände, kann – abhängig von zusätzlichen Kontrollen – der Weg ins Tresor geöffnet werden. Obwohl Passkeys als phishing-resistent gelten, lassen sich Nutzer durch Domain-Spoofing in die Enrolment-/Recovery-Falle locken: Statt bestehende Schlüssel zu stehlen, wird ein neuer, vom Angreifer kontrollierter Passkey registriert oder eine Session übernommen. Das Risiko steigt, wenn Auto-Genehmigungsfenster für den Notfallzugriff groß und Benachrichtigungen ungenau konfiguriert sind.
Empfohlene Gegenmaßnahmen für Nutzer und Unternehmen
URL manuell prüfen: LastPass ausschließlich über die App oder gespeicherte Lesezeichen öffnen; auf korrekte Domains und TLDs achten. Tippfehler-Domains und neue TLDs sind gängig.
Kein Master-Passwort über Links eingeben: Aufforderungen per E-Mail/Telefon ignorieren. Emergency-Access-Anträge ausschließlich im offiziellen Interface prüfen oder verwerfen.
Emergency Access härten: Vertrauenspersonen regelmäßig überprüfen, Benachrichtigungen aktivieren und – wo möglich – das Auto-Approve-Fenster verkürzen. Veraltete Kontakte entfernen.
Phishing-resistente MFA: FIDO2-Sicherheitsschlüssel einsetzen, Anmeldebenachrichtigungen aktivieren, aktive Sitzungen überwachen und bei Verdacht sofort invalidieren. Browser und Erweiterungen aktuell halten und Anti-Phishing-Features nutzen.
Vorfallreaktion: Bei verdächtigen Mails/Anrufen Vorfall an LastPass melden, Master-Passwort ändern, Sessions beenden und betroffene Schlüssel neu ausstellen. Für Krypto-Dienste API-Schlüssel und Wiederherstellungs-Codes rotieren.
Die Täuschung über den Notfallzugriff zeigt, wie effektiv Angreifer legitime Prozesse für Social Engineering instrumentalisieren. Wer Benachrichtigungen kritisch prüft, Domains verifiziert und ausschließlich im offiziellen LastPass-Interface handelt, reduziert das Risiko signifikant. Das Verizon DBIR 2024 ordnet 68 % der Sicherheitsvorfälle dem „Human Factor“ zu – ein klarer Auftrag, Prozesse, Schulungen und technische Kontrollen zu schärfen. Jetzt ist der richtige Zeitpunkt, Notfallzugriff, MFA-Standards und Schlüsselverwaltung zu überprüfen und kompromissfeste Routinen zu etablieren.
