Користувачі популярного менеджера паролів LastPass зіткнулися з новою цілеспрямованою фішинговою кампанією. Зловмисники розсилають підроблені повідомлення підтримки з вимогою створити резервну копію сховища паролів протягом 24 годин, намагаючись змусити жертв розкрити свій майстер-пароль.
Як працює фішинг під виглядом технічних робіт LastPass
За наявною інформацією, кампанія стартувала приблизно 19 січня. Жертви отримують листи, що нібито надійшли від служби підтримки LastPass, з адрес на кшталт support@lastpass[.]server3 або support@sr22vegas[.]com. Візуальне оформлення, логотипи та стиль повідомлень максимально імітують офіційні розсилки сервісу.
У тексті листа йдеться про нібито заплановане технічне обслуговування інфраструктури, через яке користувачеві пропонують терміново створити зашифровану локальну резервну копію свого сховища. Для цього потрібно натиснути кнопку Create Backup Now, яка подається як обов’язкова умова збереження доступу до паролів.
Після натискання користувача перенаправляють не на офіційний домен LastPass, а на підроблений ресурс mail-lastpass[.]com. На цій сторінці жертву просять ввести логін та майстер-пароль від облікового запису LastPass. Таким чином зловмисники не атакують сховище напряму, а перехоплюють головний секрет — майстер-пароль, який захищає всі інші збережені облікові дані.
Соціальна інженерія, тиск часом і «офіційний» тон
Представники LastPass наголошують, що сервіс не вимагає від користувачів створювати резервні копії протягом 24 годин і не висуває ультимативних умов через електронну пошту. Жорсткий дедлайн — класична техніка соціальної інженерії, яка змушує користувача діяти імпульсивно, не перевіряючи деталі.
Додатковий ризик полягає в тому, що кампанію запущено під час святкових вихідних у США, коли багато компаній працюють у скороченому режимі. У такі періоди, за спостереженнями фахівців із кібербезпеки, фішингові атаки частіше виявляються успішними: користувачі рідше консультуються з ІТ-відділом, а служби безпеки реагують повільніше.
Чому менеджери паролів — пріоритетна ціль фішингових атак
Менеджери паролів на кшталт LastPass концентрують доступ одразу до десятків і сотень сервісів: електронної пошти, соціальних мереж, хмарних сховищ, корпоративних VPN, платіжних систем і банківських кабінетів. Компрометація одного майстер-пароля часто означає ланцюговий доступ до цілої цифрової екосистеми користувача чи компанії.
Згідно зі щорічним звітом Verizon Data Breach Investigations Report та статистикою центру скарг на інтернет-злочини FBI (IC3), фішинг стабільно залишається одним із найпоширеніших способів початкового проникнення в систему. Зловмисники цілеспрямовано обирають сервіси, де одна пара облікових даних відкриває шлях до безлічі інших ресурсів, і LastPass ідеально вписується в цю модель загрози.
Попередні кампанії проти користувачів LastPass: ескалація сценаріїв
Фішингові операції, спрямовані на клієнтів LastPass, проводяться не вперше. Раніше кіберзлочинці використовували більш витончені сценарії соціальної інженерії — від підроблених юридичних документів до фальшивих оновлень програмного забезпечення.
Наприклад, у жовтні 2025 року фіксувалася кампанія, в межах якої розсилалися підроблені свідоцтва про смерть власників облікових записів LastPass. Метою було ініціювати процедуру «успадкування» доступу до сховища та переконати службу підтримки або довірених контактів передати доступ третім особам.
Ще одна помітна хвиля атак сталася у вересні попереднього року, коли користувачів заохочували встановити нібито «більш захищений» десктопний клієнт замість «уразливої» версії. Насправді ж їм пропонували шкідливе ПЗ, призначене для крадіжки паролів та іншої конфіденційної інформації.
Як розпізнати підроблені листи LastPass і захистити майстер-пароль
1. Перевіряйте домен відправника та всі посилання. Легітимні листи LastPass надходять із доменів, пов’язаних із lastpass.com. Будь-які додаткові слова, цифри, незвичні доменні зони чи піддомени (server3, vegas тощо) мають викликати недовіру. Перед кліком наведіть курсор на посилання й уважно перегляньте URL.
2. Ігноруйте ультиматуми та погрози блокування. Формулювання на кшталт «створіть резервну копію за 24 години», «терміново підтвердьте обліковий запис» або «інакше доступ буде втрачено» — типовий індикатор фішингу. Великі сервіси рідко вдаються до таких формулювань у звичайних комунікаціях.
3. Ніколи не вводьте майстер-пароль за посиланням із листа. Безпечніший варіант — відкривати LastPass через офіційний додаток або вводити адресу сервісу вручну в браузері. Будь-яке прохання ввести майстер-пароль із листа слід вважати потенційно шкідливим.
4. Увімкніть багатофакторну автентифікацію (MFA). Навіть якщо зловмисники отримають ваш майстер-пароль, додатковий фактор — апаратний ключ, одноразовий код або біометрія — суттєво ускладнить компрометацію облікового запису.
5. Регулярно навчайте співробітників і оновлюйте політики безпеки. Для бізнес-користувачів критично важливо проводити тренінги з розпізнавання фішингу та періодичні симуляції атак. Дослідження показують, що системне навчання в рази знижує ймовірність успішного фішингового інциденту.
Нова фішингова кампанія проти користувачів LastPass ще раз демонструє: навіть технічно захищені сервіси залишаються вразливими, якщо атакувальникам вдається обійти захист через людський фактор. Уважне ставлення до листів про безпеку, жорсткий контроль за введенням майстер-пароля, використання багатофакторної автентифікації та регулярна просвіта користувачів — ключові кроки, які допоможуть мінімізувати ризики, зберегти цілісність сховища паролів і захистити критичні цифрові активи.
