Seit Mitte Oktober 2025 läuft eine breit angelegte Phishing-Kampagne gegen Nutzer von LastPass. Angreifer versenden täuschend echte E-Mails, die einen angeblichen „Notfallzugriff“ bzw. eine Kontovererbung simulieren und Empfänger zu schnellen Gegenmaßnahmen drängen. Ziel ist es, Master-Passwörter und zunehmend auch Passkeys (FIDO2/WebAuthn) abzugreifen, um Zugang zu Passwort-Tresoren, Krypto-Assets und Unternehmenskonten zu erhalten.
Angreiferprofil: CryptoChameleon (UNC5356) und ihre Motivation
Die Kampagne wird einer finanziell motivierten Bedrohungsgruppe zugeordnet, die als CryptoChameleon (UNC5356) bekannt ist. Bereits 2024 wurde sie mit Attacken auf LastPass-Anwender in Verbindung gebracht. In der aktuellen Welle erweitern die Täter ihr Arsenal: Neben der Jagd auf Master-Passwörter rücken passwortlose Anmeldeverfahren wie Passkeys in den Fokus, die sich in modernen Passwortmanagern rasant verbreiten.
Angriffsvektoren: Missbrauch des Notfallzugriffs und Social Engineering
Imitation von Vererbung/Notfallzugriff
LastPass bietet legitime Funktionen für Notfallzugriff und Kontovererbung. Angreifer missbrauchen dieses Modell, indem sie E-Mails mit „Anfrage-ID“ und dem Hinweis auf eine hochgeladene Sterbeurkunde versenden. Die Opfer sollen „sofort widerrufen“ und dafür einem Link folgen – der auf eine Phishing-Seite führt.
Gefälschte Domains und mehrstufige Täuschung
Die verlinkten Seiten nutzen Domains wie lastpassrecovery[.]com, um Master-Passwörter zu erbeuten, sowie mypasskey[.]info und passkeysetup[.]com zum Abfangen von Passkey-Flows. Ergänzend kommen Telefonanrufe zum Einsatz: Täter geben sich als LastPass-Support aus und drängen zu einer Anmeldung auf den gefälschten Portalen – klassische Social-Engineering-Taktiken, teilweise kombiniert mit Adversary-in-the-Middle-Techniken (AiTM), um Anmeldesitzungen zu übernehmen.
Zielobjekte: Kryptoboersen und Unternehmenszugänge
Beobachtet wurden spezialisierte Kits gegen Binance, Coinbase, Kraken und Gemini. Parallel setzen die Täter auf gefälschte Logins für Okta, Gmail, iCloud und Outlook, um persönliche und berufliche Identitäten zusammenzuführen und so die Monetarisierung zu maximieren. Der kombinierte Zugriff erhöht die Chance, sowohl private Wallets als auch SSO/IdP-gebundene Unternehmensressourcen zu kompromittieren.
Warum Passkeys im Visier stehen
Passkeys sind FIDO2/WebAuthn-basierte, öffentliche/privat-schlüsselgestützte Anmeldeverfahren. Der private Schlüssel verbleibt auf dem Gerät; der Dienst prüft lediglich eine signierte Herausforderung. Die Kryptografie selbst ist nicht das Ziel der Angreifer. Stattdessen setzen sie auf Origin-Verwirrung und Social Engineering: Nutzer sollen ihre Authentifizierung auf einer täuschend ähnlichen Domain bestätigen. Während Passkeys durch die Relying-Party-ID-Bindung Phishing deutlich erschweren, können Echtzeit-AiTM-Angriffe oder erzwungene Fallbacks (z. B. Anmeldedaten, Wiederherstellungscodes) dennoch für Kontoübernahmen missbraucht werden.
Indikatoren und empfohlene Schutzmaßnahmen
URL-Prüfung vor Eingaben: Offizielle LastPass-Domains enthalten keine ungewöhnlichen Zusätze. Bevor Daten eingegeben werden, immer die Adressleiste und das Zertifikat kontrollieren.
Niemals Links aus Notfallzugriff-Mails folgen: Stattdessen LastPass manuell im Browser öffnen und Benachrichtigungen ausschließlich im Account-Interface prüfen.
Telefonische Aufforderungen skeptisch behandeln: LastPass fordert keine Passworteingaben über Drittseiten per Anruf an. Unerwartete Anrufe sind ein klares Social-Engineering-Indiz.
MFA konsequent durchsetzen: Phishing-resistente Verfahren (FIDO2-/WebAuthn-Token, Plattform-Authentikatoren) bevorzugen, Wiederherstellungscodes sicher offline verwahren und alte, schwächere MFA-Methoden deaktivieren.
Notfallzugriff restriktiv konfigurieren: Vertrauenswürdige Kontakte regelmäßig überprüfen, Benachrichtigungsfristen eng halten und ungewöhnliche Anfragen sofort im Konto widerrufen.
Unternehmensseitige Härtung: Strenge Okta/IdP-Richtlinien (Device-Bindung, Risk-Based Access), Enrollment neuer Authentikatoren genehmigungspflichtig, bekannte Phishing-Domains blockieren und Telemetrie auf AiTM-Indikatoren überwachen.
Security-Awareness stärken: Laut Verizon DBIR 2024 zählt Social Engineering weiterhin zu den häufigsten Initialzugängen. Der FBI IC3 Report 2023 verzeichnet Schadenssummen von über 12 Mrd. US‑Dollar – ein deutlicher Hinweis auf die anhaltende Wirksamkeit solcher Kampagnen.
Die Tarnung als legitimer Notfallprozess macht diese Phishing-Welle für Privatanwender und Unternehmen gleichermaßen plausibel. Die Fokussierung auf Passkeys zeigt, wie schnell Angreifer neue Authentifizierungsstandards ins Visier nehmen. Nutzer sollten kritische Aktionen ausschließlich im offiziellen Interface bestätigen, Einstellungen für Notfallzugriff und Vertrauenskontakte regelmäßig prüfen und verdächtige Mails oder Anrufe umgehend bei LastPass melden. Sicherheitsverantwortliche sollten parallel Erkennungsregeln, Domain-Blocklisten und IdP-Policies aktualisieren, um AiTM- und Social-Engineering-Versuche effektiv zu unterbinden.
