Penyedia perangkat lunak manajemen kata sandi LastPass memperingatkan pengguna akan kampanye phishing yang menargetkan penggunanya dengan peringatan akses akun palsu yang tidak sah.
Email tersebut meniru identitas perwakilan LastPass dengan memalsukan nama tampilan dan menggunakan baris subjek yang dibuat untuk meniru percakapan internal yang diteruskan antara penyerang dan tim dukungan pelanggan perusahaan tentang permintaan untuk mengubah alamat email utama akun.
Rantai email diteruskan ke target dalam upaya untuk meminta mereka merespons aktivitas mencurigakan dengan segera dan mengeklik tautan bernama “laporkan aktivitas mencurigakan”, “putuskan sambungan dan kunci brankas”, dan “cabut perangkat”.
Sumber: LastPass
Dengan melakukan hal itu, pengguna diarahkan ke halaman login LastPass palsu yang dihosting di domain “verify-lastpass[.]com” yang mengumpulkan kredensial pengguna LastPass.
LastPass Threat Intelligence, Mitigation, and Escalation (TIME) mencatat dalam laporannya bahwa selain domain utama ini, penyerang juga menggunakan URL yang sedikit dimodifikasi yang mengalihkan ke halaman phishing yang sama.
LastPass mencatat bahwa beberapa alamat pengirim dan baris subjek digunakan dalam kampanye untuk meningkatkan kredibilitas dan mempersulit penelusuran.
Sebagian besar alamat pengirim sama sekali tidak terkait dengan merek LastPass, dibuat dari situs web yang disusupi atau domain yang ditinggalkan, namun penyerang mencoba menyembunyikannya dengan menggunakan nama tampilan ‘Dukungan LastPass’.
Perusahaan menggarisbawahi bahwa infrastrukturnya belum dikompromikan dengan cara apa pun, dan tidak ada dampak pada sistemnya.
Selain itu, mereka mengingatkan pelanggan bahwa agen dukungannya tidak akan pernah meminta kata sandi utama mereka dan bahwa pengguna tidak boleh mengungkapkannya kepada siapa pun.
LastPass bekerja sama dengan mitra pihak ketiga untuk menghapus situs palsu tersebut sesegera mungkin, sambil mendesak pengguna yang menerima komunikasi mencurigakan untuk melaporkannya ke ‘abuse@lastpass.com.’
Popularitas LastPass membuat layanan ini sering menjadi sasaran kampanye phishing. Awal tahun ini, pada bulan Januari, LastPass memperingatkan kampanye phishing lain yang menyebar pemberitahuan pemeliharaan palsumeminta pengguna untuk mencadangkan brankas mereka dalam waktu 24 jam dan mengarahkan mereka ke halaman phishing.
Pada akhir tahun 2025, ada dua kampanye lagi yang menargetkan LastPass: satu memanfaatkan klaim kematian pengguna palsudan pihak lainnya mengklaim perusahaan tersebut telah diretas dan mendesak pengguna untuk mengunduh versi baru aplikasi klien.
Laporan Merah 2026: Mengapa Enkripsi Ransomware Turun 38%
Malware semakin pintar. Laporan Merah 2026 mengungkapkan bagaimana ancaman baru menggunakan matematika untuk mendeteksi kotak pasir dan bersembunyi di depan mata.
Unduh analisis kami terhadap 1,1 juta sampel berbahaya untuk mengungkap 10 teknik teratas dan lihat apakah tumpukan keamanan Anda tidak diketahui.
