LastPass: Betrüger kapern Vertrauen in Passwort-Manager

Cyberkriminelle nutzen gefälschte Sicherheitswarnungen von LastPass und Bitwarden, um Nutzern Schadsoftware unterzujubeln – und deren komplette Passwort-Sammlungen zu stehlen.

Sicherheitsexperten schlagen Alarm: Eine raffinierte Phishing-Kampagne macht sich das Vertrauen in beliebte Passwort-Manager zunutze. Die Täter versenden gefälschte Notfallmeldungen im Namen von LastPass, die vor einem angeblichen Hack warnen. Ihr perfides Kalkül? Aus Panik sollen Nutzer schnell handeln – und dabei in die Falle tappen.

Die betrügerischen E-Mails tragen Betreffzeilen wie “Wir wurden gehackt – Aktualisieren Sie Ihre LastPass Desktop-App für die Vault-Sicherheit”. LastPass hat inzwischen bestätigt: Es gab keinen Hack. Die Nachrichten sind pure Täuschung.

Hinter der Attacke steckt ausgeklügelte Psychologie. Die Betrüger setzen auf Domänen wie “hello@lastpasspulse[.]blog” und “hello@lastpassgazette[.]blog”, die offiziellen Kommunikationskanälen täuschend ähnlich sehen. Ihr Kalkül: Ein Krisenszenario erschaffen, das Nutzer zum sofortigen Klicken drängt.

Die Links führen zu Phishing-Seiten, die LastPass-Branding perfekt imitieren. Cloudflare hat bereits mehrere verdächtige Domänen wie “lastpassdesktop[.]com” markiert und warnt Besucher vor Betrug. Sicherheitsforscher entdeckten zudem die registrierte Domain “lastpassdesktop[.]app” – ein Zeichen für geplante Angriffsvarianten.

Besonders brisant: Die Infrastruktur läuft über einen “kugelsicheren” Hosting-Anbieter, der bekanntermaßen Cyberkriminelle unterstützt.

Fernsteuerung statt Software-Update

Wer auf den Trick hereinfällt, installiert statt eines Updates die Schadsoftware Syncro – eigentlich ein legitimes Tool zur Fernwartung. Darüber schleusen die Angreifer weitere Software wie ScreenConnect ein und übernehmen die komplette Kontrolle über den Rechner.

Das eigentliche Ziel? Der Diebstahl des gesamten Passwort-Tresors samt aller gespeicherten Zugangsdaten. Auch Bitwarden-Nutzer berichten von ähnlichen Betrugsversuchen. Diese Strategie markiert eine gefährliche Eskalation: Kriminelle missbrauchen ausgerechnet das Vertrauen in Sicherheits-Tools.

Warnung zur rechten Zeit

LastPass reagierte unmissverständlich: “Dies ist der Versuch eines böswilligen Akteurs, Aufmerksamkeit zu erzeugen und Dringlichkeit zu vermitteln – eine gängige Taktik bei Social Engineering und Phishing-E-Mails.” Verdächtige Nachrichten sollen an abuse@lastpass.com weitergeleitet werden.

Brisant ist das Timing: Die Kampagne fällt mitten in den “National Cybersecurity Awareness Month” der USA. Parallel warnt PayPal vor Phishing-Angriffen, die bekannte Marken imitieren. Die US-Cybersicherheitsbehörde CISA stuft Phishing weiterhin als Hauptbedrohung ein.

Vertrauen als Waffe

Der Angriff offenbart einen besorgniserregenden Trend: Kriminelle nutzen gezielt das Vertrauen in Sicherheits-Tools aus. Wer seinem Passwort-Manager traut, reagiert bei vermeintlichen Warnungen besonders aufmerksam – und wird dadurch manipulierbarer.

Das Timing am Feiertagswochenende folgt klassischen Betrugsmustern: Reduzierte Sicherheitsteams und langsamere Reaktionszeiten sollen die Erfolgschancen steigern. Der Missbrauch legitimer Software wie Syncro erschwert die Erkennung durch Antiviren-Programme zusätzlich.

Neue Bedrohungen, alte Regeln

Experten betonen: Trotz KI-unterstützter Angriffe bleibt menschliche Aufmerksamkeit die beste Verteidigung. Seriöse Unternehmen fordern niemals per unaufgeforderter E-Mail zur Software-Aktualisierung auf oder verlangen Master-Passwörter.

Schutz-Tipps für Nutzer:
– Niemals Links in unerwarteten E-Mails klicken – stattdessen die offizielle Website direkt aufrufen
– Absender-Adressen genau prüfen auf verdächtige Domains
– Misstrauen bei Dringlichkeit und Panikmache – typische Phishing-Merkmale
– Multi-Faktor-Authentifizierung aktivieren für zusätzlichen Schutz

Anzeige: Übrigens: Wer sich auch am Smartphone vor Phishing, Datenklau und Schadsoftware schützen möchte, findet eine kompakte Schritt-für-Schritt-Anleitung. Der kostenlose Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen, die Ihr Android ohne teure Zusatz-Apps spürbar sicherer machen – inklusive Checklisten für WhatsApp, Online-Banking und PayPal. Ideal für Einsteiger und in wenigen Minuten umgesetzt. Kostenloses Android-Sicherheitspaket anfordern

Die Kampagne zeigt: Im Cyberkrieg bleibt der Mensch die entscheidende Verteidigungslinie. Wer die Tricks der Betrüger kennt, kann sich wappnen.