У середині жовтня 2025 року користувачі LastPass зіткнулися з масованою хвилею фішингу: жертвам надсилають листи про нібито отриманий «запит на екстрений доступ» до сховища з посиланням на його «скасування». Сценарій експлуатує тему спадкування доступу у разі смерті власника, створюючи тиск часу та підштовхуючи до необдуманих дій.
Зловживання механізмом Emergency Access: як працює обман
У LastPass існує легітимна функція Emergency Access, яка дозволяє довіреним контактам запитати доступ до сховища, якщо власник недієздатний. Якщо протягом відведеного періоду запит не відхилити, доступ надається автоматично.
Актори підробляють такі сповіщення, додають фальшивий ID заявки та повідомляють, що «член родини завантажив свідоцтво про смерть». Далі жертву спонукають «скасувати запит» через посилання на домен lastpassrecovery[.]com, де вимагають ввести master‑пароль.
Додатково застосовується вишинг: дзвінки від псевдопрацівників підтримки, які пропонують «підтвердити дані» на підробленій сторінці. Офіційна підтримка LastPass ніколи не просить master‑пароль телефоном або через посилання з листа.
Виконавці: CryptoChameleon (UNC5356) та фокус на криптоактивах
За оцінкою дослідників, кампанію координує фінансово мотивована група CryptoChameleon (UNC5356), відома атаками на власників криптовалютних активів. Вона вже націлювалася на користувачів LastPass у 2024 році, комбінуючи фішинг, смс‑фішинг і вишинг для підвищення конверсії атак.
Чому приціл на passkeys: FIDO2/WebAuthn і адаптація технік
Поряд із крадіжкою master‑паролів зловмисники активно полюють на passkeys — криптографічні ключі на основі FIDO2/WebAuthn, що дозволяють входити без пароля. Провідні платформи (Google, Apple, Microsoft) розширюють підтримку passkeys, а менеджери паролів, зокрема LastPass, 1Password, Dashlane та Bitwarden, вже синхронізують їх між пристроями.
Кіберзлочинці намагаються обійти «безпарольну» аутентифікацію, маніпулюючи процесами реєстрації або «відновлення» ключів через підміну доменів та інтерфейсів, аби перехопити операцію підтвердження.
Інфраструктура фішингу та цілі атак
Спеціалізовані домени та механізми крадіжки ключів
Для полювання на passkeys використовуються спеціальні домени на кшталт mypasskey[.]info і passkeysetup[.]com. Мета — змусити користувача підтвердити дію на підробленому ресурсі, де зловмисники можуть перехопити сесійні токени або ініціювати небажану прив’язку ключа.
Підроблені сторінки входу популярних сервісів
Окрім LastPass, зловмисники розгортають копії сторінок Okta, Gmail, iCloud, Outlook, а також фішингові набори для криптогаманців Binance, Coinbase, Kraken, Gemini з цілями викрадення облікових даних і токенів сесій.
Ключові ризики: master‑паролі, сесійні токени та passkeys
Компрометація master‑пароля у поєднанні з перехопленням сесійного токена може відкрити шлях до сховища, якщо додаткові перевірки відсутні або обхідні. Цілеспрямоване збирання passkeys небезпечне тим, що атакувальники прагнуть легітимізувати свою присутність у ланцюжку довіри, змінюючи або додаючи ключі під виглядом сервісних операцій.
Як захиститися: перевірка каналів і жорстка гігієна доступу
Перевіряйте URL вручну: не переходьте за посиланнями з листів. Відкривайте LastPass з офіційного застосунку або закладки, уважно звіряйте домен і сертифікат сайту.
Ніколи не вводьте master‑пароль за посиланням із листа чи під час дзвінка. Оцінюйте будь-які повідомлення про «успадкування доступу» лише через офіційний інтерфейс LastPass.
Перегляньте налаштування Emergency Access: оновіть список довірених контактів, увімкніть сповіщення та, за можливості, зменшіть вікно автоматичного схвалення. Видаляйте застарілі контакти.
Укріпіть аутентифікацію: використовуйте фішингостійкі MFA (FIDO2‑ключі), окремі пристрої для підтвердження, сповіщення про нові входи та регулярний контроль активних сесій. Оновлюйте браузери, розширення та вмикайте захист від фішингу.
Маскування під «екстрений доступ» демонструє, як легітимні процедури можуть бути обернені проти користувача. Якщо отримали сумнівне сповіщення або дзвінок, негайно зверніться до підтримки LastPass, змініть master‑пароль, перевірте активні сесії та, за підозри на витік, перевипустіть ключі та passkeys для критичних сервісів. Раннє виявлення та розрив ланцюжка соціальної інженерії істотно знижує ризик компрометації облікових записів і коштів.
