Passwort-Manager unter Betrug-Attacke: Millionen Nutzer bedroht

Eine raffinierte Phishing-Kampagne nimmt derzeit die Nutzer beliebter Passwort-Manager ins Visier. Die Betrüger verschicken gefälschte Sicherheitswarnungen, die vorgeben, LastPass, Bitwarden und 1Password seien gehackt worden.

Die betrügerischen E-Mails verleiten Anwender dazu, Schadsoftware herunterzuladen, die Kriminellen den Fernzugriff auf ihre Computer ermöglicht. Sicherheitsexperten und die betroffenen Unternehmen bestätigen: Kein einziger tatsächlicher Hack hat stattgefunden. Die Angreifer setzen ausschließlich auf Social Engineering, um Panik zu schüren und Nutzer zur Selbstgefährdung zu bewegen.

Perfide Masche: Wie die gefälschten Warnungen funktionieren

Die Phishing-Kampagne nutzt professionell gestaltete E-Mails, die wie offizielle Mitteilungen vertrauenswürdiger Anbieter aussehen. Alarmierende Betreffzeilen wie “Wir wurden gehackt – Aktualisieren Sie Ihre LastPass Desktop-App für Vault-Sicherheit” sollen sofortige Aufmerksamkeit erzeugen.

Für mehr Glaubwürdigkeit verwenden die Angreifer täuschend ähnliche Domains als Absenderadresse – etwa ‘hello@lastpasspulse[.]blog’ oder ‘hello@lastpasjournal[.]blog’. Die E-Mails erfinden technische Details über angebliche Sicherheitslücken in “älteren .exe-Installationen” und drängen zum Download einer “sichereren” Desktop-Anwendung.

Das Timing ist kein Zufall: Die Kampagne startete an einem Feiertagswochenende, wenn Sicherheitsteams oft unterbesetzt sind und langsamer reagieren.

Trojaner im Gewand des Updates

Statt eines Sicherheitsupdates installiert die heruntergeladene Datei legitime Fernzugriffssoftware. Forscher von BleepingComputer entdeckten: Die Schadsoftware installiert Syncro, ein Remote-Monitoring-Tool für IT-Profis. Anschließend nutzen die Angreifer Syncro, um ein zweites Fernzugriffsprogramm namens ScreenConnect zu installieren.

Diese Kombination verschafft Cyberkriminellen dauerhaften, unbefugten Fernzugriff auf das Opfer-System. Mit diesem Zugang können sie weitere Schadsoftware wie Keylogger installieren, sensible Dateien stehlen oder durch Überwachung der Nutzeraktivitäten an Passwort-Tresore gelangen.

Unternehmen reagieren: “Wir wurden NICHT gehackt”

LastPass stellte umgehend klar: “Zur Klarstellung: LastPass wurde NICHT gehackt. Dies ist der Versuch eines bösartigen Akteurs, Aufmerksamkeit zu erregen und beim Empfänger Dringlichkeit zu erzeugen – eine typische Taktik für Social Engineering und Phishing-E-Mails.”

Sowohl LastPass als auch Bitwarden bestätigten, Ziel dieser Kampagnen zu sein, und arbeiten aktiv daran, die schädlichen Domains sperren zu lassen. Cloudflare hat bereits eingegriffen und blockiert den Zugang zu bekannten Phishing-Domains.

Warum Passwort-Manager im Fokus stehen

Passwort-Manager sind für Cyberkriminelle besonders lukrative Ziele: Sie verwahren die “Schlüssel zum Königreich”. Ein einziger kompromittierter Account kann Zugang zu Dutzenden oder Hunderten von Online-Konten gewähren – von Banking über E-Mail bis hin zu Firmen-Netzwerken.

Die aktuelle Kampagne zeigt die wachsende Raffinesse von Phishing-Attacken. Die E-Mails sind professionell verfasst, ohne die verräterischen Rechtschreibfehler früherer Betrugsversuche, und nutzen überzeugende Fachbegriffe. Besonders perfide: Sie missbrauchen das Sicherheitsbewusstsein der Nutzer gegen sie selbst.

Schutz vor der Betrugsmasche

Sicherheitsexperten raten zu grundlegender Skepsis: Passwort-Manager-Anbieter fordern niemals per E-Mail zur Preisgabe des Master-Passworts auf oder verlangen sofortige Software-Updates über unverlangte Links.

Bei verdächtigen E-Mails sollten Nutzer diese an die Missbrauchsabteilung des jeweiligen Unternehmens weiterleiten und anschließend löschen. Das wichtigste Prinzip: Niemals Links aus unerwarteten Sicherheitswarnungen anklicken, sondern immer direkt die offizielle Website des Dienstes in einem separaten Browser-Fenster aufrufen.

Anzeige: Apropos Phishing – die Masche trifft längst auch Smartphones per E-Mail, SMS oder WhatsApp. Viele Android-Nutzer übersehen dabei 5 einfache Schutzmaßnahmen, die Ihr Gerät spürbar sicherer machen – ganz ohne teure Zusatz-Apps. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking & PayPal zuverlässig absichern und typische Fallen erkennen. Jetzt kostenloses Android-Sicherheitspaket sichern

Da Angreifer schnell neue Domains registrieren und ihre Köder anpassen können, bleibt Wachsamkeit der wichtigste Schutz. Technologie allein kann Cyberangriffe nicht verhindern – informierte und vorsichtige Nutzer bilden die entscheidende Verteidigungslinie.