У середині жовтня 2025 року LastPass застеріг користувачів від масштабної фішинг-кампанії, що імітує процедуру «екстреного доступу» та спадкування сховища. Зловмисники надсилають правдоподібні повідомлення з «ідентифікатором запиту» і посиланням для «негайного скасування», змушуючи власника самостійно розкрити master‑пароль або підтвердити дію, яка відкриває шлях до облікових даних і криптоактивів. У низці випадків шахраї додатково телефонують, представляючись підтримкою LastPass.
CryptoChameleon (UNC5356): фінансово мотивована група та її еволюція
За даними фахівців, кампанію веде група CryptoChameleon (UNC5356), помічена у прицільних атаках на користувачів LastPass навесні 2024 року. Нинішня хвиля відрізняється масштабом та інструментарієм: фокус змістився не лише на викрадення master‑паролів, а й на перехоплення passkey — механізмів безпарольної автентифікації FIDO2/WebAuthn, які швидко набирають популярність у менеджерах паролів.
Техніка атаки: підміна «екстреного доступу» та фішингові домени
Експлуатація механізму спадкування LastPass
Функція спадкування/екстреного доступу в LastPass дозволяє довіреному контакту запросити доступ у разі смерті чи недієздатності власника. Якщо запит не скасовано вчасно — доступ надається. Зловмисники підробляють такі сповіщення, стверджуючи, що «родич завантажив свідоцтво про смерть», і спонукають отримувача перейти за посиланням, аби «відмінити операцію».
Фейкові сайти, дзвінки та націлювання на passkey
Посилання ведуть на домени-двійники, зокрема lastpassrecovery[.]com, де жертву спонукають ввести master‑пароль, а також на ресурси для перехоплення passkey, як-от mypasskey[.]info та passkeysetup[.]com. Сценарії підкріплюються багатокроковою соціальною інженерією: шахраї можуть телефонувати й скеровувати користувача авторизуватися на підробленій сторінці, імітуючи процедури відновлення.
Що саме полюють: облікові дані та криптовалютні активи
Інфраструктура CryptoChameleon включає фішингові комплекти, націлені на криптогаманці Binance, Coinbase, Kraken і Gemini. Для обходу корпоративного захисту використовуються фальшиві сторінки входу в Okta, Gmail, iCloud та Outlook. Комбінування компрометації особистих і робочих акаунтів дає змогу нападникам розширити доступ у цифрову екосистему жертви й підвищити імовірність монетизації.
Чому саме passkey: сильна криптографія, слабка ланка — користувач
Passkey — це безпарольна автентифікація на базі FIDO2/WebAuthn: приватний ключ зберігається на пристрої, сервіс перевіряє підпис. Криптографічно ця модель стійка, тож атакуючі не «ламають» алгоритми, а обманюють користувача, підміняючи інтерфейс входу і спонукаючи підтвердити дію на підробленому сайті. Такий підхід масштабовано працює проти менеджерів паролів (LastPass, 1Password, Dashlane, Bitwarden), які вже підтримують збереження та синхронізацію passkey.
Як розпізнати шахрайство і знизити ризики
Перевіряйте URL перед введенням даних. Офіційні домени LastPass не містять зайвих слів і нетипових суфіксів. Підозрілі адреси часто маскуються під «recovery», «setup», «security».
Не переходьте за посиланнями з листів про «екстрений доступ». Відкрийте LastPass вручну та перевірте сповіщення у своєму акаунті.
Ігноруйте дзвінки з вимогою ввести пароль або підтвердити дію на сторонньому сайті. Підтримка LastPass такого не робить; подібні дзвінки — ознака соціальної інженерії.
Увімкніть багатофакторну автентифікацію (MFA) на критичних сервісах. Перевагу надавайте апаратним ключам FIDO2 або додаткам-аутентифікаторам; це знижує вплив витоку пароля чи помилки користувача.
Регулярно переглядайте налаштування безпеки LastPass, зокрема список довірених контактів і параметри екстреного доступу/спадкування.
Підвищуйте обізнаність команди. Галузеві звіти, зокрема Verizon DBIR 2024 і зведення FBI IC3, стабільно фіксують фішинг серед провідних векторів початкового доступу та значні фінансові втрати від пов’язаних шахрайств.
Маскування під процедурний «екстрений доступ» робить кампанію переконливою для широкого кола користувачів — від домогосподарств до співробітників компаній із SSO/IdP. Активне націлювання на passkey демонструє швидку адаптацію злочинців до нових стандартів автентифікації. Зберігайте пильність: підтверджуйте критичні дії лише в офіційному інтерфейсі, не переходьте за посиланнями з листів, фіксуйте підозрілі домени та негайно повідомляйте про інциденти до підтримки LastPass.
