Пользователи менеджера паролей LastPass столкнулись с масштабной фишинговой кампанией, стартовавшей в середине октября 2025 года. Злоумышленники рассылают письма с уведомлениями о якобы поступившем запросе экстренного доступа к хранилищу — сценарий обыгрывает “наследование” в случае смерти владельца и провоцирует жертву на немедленное действие.
Что именно происходит: злоупотребление функцией экстренного доступа
В LastPass предусмотрен механизм, позволяющий доверенным контактам запросить доступ к хранилищу в случае смерти или недееспособности владельца. Если владелец не отклоняет запрос в отведённый срок, доступ предоставляется автоматически. Атакующие подделывают такие уведомления, утверждая, что «член семьи загрузил свидетельство о смерти», и добавляют фальшивый идентификатор заявки. Далее жертву побуждают «отменить запрос» по ссылке.
Ссылки ведут на поддельный ресурс lastpassrecovery[.]com, где от пользователя требуют ввести мастер‑пароль. В ряде случаев применяется и вишинг: злоумышленники звонят, представляясь сотрудниками LastPass, и убеждают подтвердить данные на фишинговой странице. Настоящие представители LastPass не запрашивают мастер‑пароль и не просят вводить его по телефону или по ссылке из письма.
Кто стоит за атаками: CryptoChameleon (UNC5356)
По оценке исследователей, кампанию ведёт финансово мотивированная группа CryptoChameleon (UNC5356), специализирующаяся на краже криптоактивов. Ранее она уже нацеливалась на пользователей LastPass (в том числе в апреле 2024 года) и активно эксплуатирует социальную инженерию, комбинируя фишинг, смс‑фишинг и вишинг для повышения конверсии атак.
Почему именно сейчас: переход к passkeys и эволюция техники
Кампания стала заметно масштабнее и технически совершеннее: помимо мастер‑паролей злоумышленники охотятся за passkeys — ключами на основе FIDO2/WebAuthn, которые позволяют входить без пароля с использованием асимметричной криптографии. Поддержка passkeys быстро расширяется крупнейшими платформами (Google, Apple, Microsoft), а ведущие менеджеры паролей, включая LastPass, 1Password, Dashlane и Bitwarden, уже умеют сохранять и синхронизировать их между устройствами. Атаки демонстрируют адаптацию преступников к этой тенденции.
Технические детали: фишинговая инфраструктура и мишени
Поддельные домены и сервисы входа
CryptoChameleon применяет специализированные домены, нацеленные на кражу passkeys, такие как mypasskey[.]info и passkeysetup[.]com. Для кражи учетных данных и сессионных токенов используются поддельные страницы входа популярных сервисов: Okta, Gmail, iCloud и Outlook, а также фишинговые наборы, предназначенные для криптокошельков Binance, Coinbase, Kraken и Gemini.
Социальная инженерия и сценарий «смерть владельца»
Ключевой триггер — психологическое давление и срочность. Письма оформляются как срочные уведомления об «наследовании доступа», что повышает вероятность клика и снижает критичность восприятия. Дополнительные элементы достоверности — псевдо‑ID запроса, отсылки к внутренним процедурам и убедительная визуальная копия бренда.
Риски для пользователей: мастер‑пароль, токены и passkeys
Компрометация мастер‑пароля LastPass в сочетании с перехватом сессии может открыть путь к хранилищу, особенно если отсутствуют дополнительные проверки. Целенаправленный сбор passkeys опасен тем, что злоумышленники стремятся обойти «безпарольную» аутентификацию, манипулируя процессом регистрации или «восстановления» ключей через подмену домена и интерфейса.
Как защититься: проверка каналов и жёсткая гигиена доступа
Проверяйте URL вручную: вместо перехода по письмам открывайте LastPass из приложения или закладок. Внимательно смотрите на домен — у злоумышленников часто используются созвучные названия и новые TLD.
Не вводите мастер‑пароль по ссылкам из писем. LastPass не просит передавать мастер‑пароль и не звонит с подобными просьбами. Игнорируйте «срочные» требования и переосмыслите любые запросы на «наследование» только через официальный интерфейс.
Проверьте настройки Emergency Access: регулярно пересматривайте список доверенных контактов, включите уведомления о запросах и уменьшите окно автоодобрения (если применимо). Удаляйте устаревшие контакты.
Усилите аутентификацию: используйте фишинг‑устойчивые методы MFA (FIDO2‑ключи), изолированные устройства для подтверждения, уведомления о входе и контроль активных сессий. Обновляйте браузеры и расширения, включайте защиту от фишинга.
Маскировка под экстренный доступ — пример того, как преступники используют легитимные процессы против пользователей. Сохраняйте настороженность к письмам «о наследовании», проверяйте домены и подтверждайте любые действия только в приложении или на официальном сайте. Если вы получили подозрительное уведомление или звонок, немедленно сообщите в поддержку LastPass и смените мастер‑пароль; при подозрении на утечку — пересоздайте ключи и перевыпустите passkeys для критичных сервисов. Чем раньше вы разорвете цепочку социальной инженерии, тем ниже риск компрометации аккаунта и средств.
