Пользователи популярного менеджера паролей LastPass стали целью новой фишинговой кампании, маскирующейся под официальные уведомления о технических работах. Злоумышленники рассылают письма с требованием создать резервную копию хранилища паролей в течение 24 часов, пытаясь таким образом выманить у жертв их мастер-пароли.
Как устроена фишинговая атака под видом «срочного бэкапа» LastPass
По информации компании, кампания, вероятнее всего, стартовала около 19 января. Получатели видят письма якобы от службы поддержки LastPass с адресов вида support@lastpass[.]server3 и support@sr22vegas[.]com. Темы и оформление сообщений копируют фирменный стиль сервиса менеджера паролей и создают впечатление легитимного уведомления о регламентных работах.
В письме утверждается, что из‑за предстоящего техобслуживания инфраструктуры пользователям необходимо срочно создать локальную зашифрованную резервную копию своего хранилища, чтобы якобы сохранить непрерывный доступ к паролям. Для этого предлагается нажать кнопку Create Backup Now.
Нажав на кнопку, пользователь перенаправляется не на официальный сайт, а на поддельный ресурс mail-lastpass[.]com. На этой странице жертву просят ввести учетные данные и мастер-пароль от LastPass. Фактически это классический сценарий фишинга: злоумышленники не получают доступ к данным напрямую, но перехватывают ключевой секрет — мастер-пароль, который защищает все остальное хранилище.
Социальная инженерия и фактор срочности
LastPass подчеркивает, что никогда не требует от клиентов создавать резервные копии своих хранилищ в течение ближайших 24 часов и не инициирует подобные «ультимативные» действия по электронной почте. Указание жесткого дедлайна — типичная тактика социальной инженерии, рассчитанная на давление и снижение критического восприятия информации.
Дополнительный фактор риска в том, что кампания запущена в праздничные выходные в США, когда многие компании работают в сокращенном режиме. В такие периоды фишинговые атаки нередко оказываются более успешными: сотрудники службы безопасности менее доступны, а пользователи чаще принимают решения в одиночку.
Почему менеджеры паролей становятся приоритетной целью для фишинга
Менеджеры паролей, такие как LastPass, концентрируют в себе доступ сразу к десяткам и сотням сервисов — от личной почты до корпоративных VPN и банковских аккаунтов. Поэтому компрометация мастер-пароля к таким хранилищам особенно ценна для преступников.
По данным отраслевых отчетов по кибербезопасности (например, Verizon Data Breach Investigations Report и статистики FBI IC3), фишинг остается одним из самых распространенных и успешных методов первоначального взлома. Атакующие сфокусированы на сервисах, где одна пара учетных данных открывает путь к множеству систем, и именно этот сценарий реализуется в рассматриваемой кампании.
Предыдущие фишинговые кампании против пользователей LastPass
Атаки на пользователей LastPass не новы. Ранее злоумышленники уже применяли сложные сценарии социальной инженерии, используя не только поддельные техуведомления, но и имитацию юридических и служебных процессов.
Так, в октябре 2025 года фиксировалась кампания, в рамках которой хакеры рассылали поддельные свидетельства о смерти владельцев аккаунтов LastPass. Целью было инициировать процедуру передачи доступа к хранилищу «по наследству», чтобы убедить службу поддержки или других пользователей выдать доступ третьей стороне.
Еще один заметный эпизод пришелся на сентябрь прошлого года, когда фишинговые сообщения убеждали пользователей установить якобы «более безопасное» десктопное приложение взамен «уязвимой» версии клиента. На деле предлагался вредоносный софт, способный красть пароли и другие конфиденциальные данные.
Как распознать поддельные письма LastPass и защитить свой мастер-пароль
Для снижения риска компрометации хранилища паролей важно соблюдать несколько базовых правил:
1. Проверять домен отправителя и ссылки. Настоящие письма от LastPass приходят с официальных доменов (например, lastpass.com). Любые варианты с дополнительными словами, цифрами, поддоменами или нетипичными зонами (server3, vegas и т.п.) должны вызывать подозрение. Перед кликом по ссылке рекомендуется навести на нее курсор и внимательно проверить URL.
2. Игнорировать ультимативные сроки и угрозы блокировки. Требования «сделать резервную копию за 24 часа», «подтвердить аккаунт немедленно» или «иначе доступ будет утрачен» — классический сигнал фишинга. Крупные сервисы обычно не используют подобные формулировки.
3. Никогда не вводить мастер-пароль по ссылкам из письма. Безопаснее всего открывать LastPass через официальное приложение или напрямую через адрес, введенный вручную в браузере. Любое письмо, в котором прямо или косвенно просят ввести мастер-пароль, должно рассматриваться как подозрительное.
4. Включить многофакторную аутентификацию (MFA). Даже при утечке мастер-пароля дополнительный фактор (аппаратный ключ, одноразовый код, биометрия) существенно усложняет действия злоумышленников и может предотвратить компрометацию аккаунта.
5. Обучать сотрудников и регулярно обновлять политику безопасности. Для корпоративных пользователей критично проводить тренинги по распознаванию фишинга и моделировать подобные инциденты. По данным многочисленных исследований, регулярное обучение значительно снижает вероятность успешного фишингового взлома.
Новая фишинговая кампания против пользователей LastPass наглядно показывает, что даже самые защищенные технически сервисы остаются уязвимыми, если атакующие успешно эксплуатируют человеческий фактор. Внимательное отношение к письмам о безопасности, строгий контроль над вводом мастер-пароля, использование многофакторной аутентификации и регулярное обучение — ключевые меры, которые позволяют минимизировать риск компрометации хранилища паролей и защитить критичные цифровые активы.
