Nuova campagna di phishing LastPass: come riconoscerla e proteggersi

Nuova campagna di phishing LastPass: come riconoscerla e proteggersi

Introduzione: cosa devi sapere subito

Una nuova campagna di phishing attiva sta colpendo gli utenti LastPass in tutto il mondo. Gli attaccanti si fingono il supporto ufficiale di LastPass inviando email che sembrano autentiche, con l’obiettivo di rubare le tue master password e i dati contenuti nel tuo vault.

La buona notizia? Puoi proteggerti facilmente seguendo pochi accorgimenti:

  • Non cliccare mai su link nelle email di LastPass; accedi sempre direttamente dal sito ufficiale lastpass.com
  • Ispeziona sempre l’indirizzo email completo del mittente, non solo il nome visualizzato
  • Ricorda che LastPass non chiede mai la master password via email
  • Abilita l’autenticazione a due fattori (MFA) sul tuo account

Se ricevi un’email sospetta, segnalala a [email protected] invece di cliccare su alcun link.

Come funziona l’attacco

Questa campagna di phishing è particolarmente sofisticata perché sfrutta diverse tattiche per sembrare legittima.

Le email fraudolente

Gli attaccanti inviano email che imitano conversazioni interne di LastPass, fingendo che qualcuno stia cercando di accedere al tuo account senza autorizzazione. I messaggi includono:

  • Oggetti come “Re: Richiesta di verifica del recupero account” o “Tentativo di esportazione non autorizzata del vault”
  • Timestamp falsi e branding ufficiale di LastPass
  • Thread di conversazione che sembrano reali
  • Un senso di urgenza che ti spinge ad agire rapidamente

Molti client di posta, specialmente su dispositivi mobili, mostrano solo il nome del mittente e non l’indirizzo email completo. Gli attaccanti sfruttano questo fatto utilizzando il “display name spoofing”: il nome visualizzato dice “LastPass Support” mentre l’indirizzo email reale appartiene a un dominio completamente diverso.

I link malevoli

Quando clicchi sul link nell’email, vieni reindirizzato verso siti contraffatti come:

  • mail-lastpass[.]com
  • verify-lastpass[.]com
  • mypasskey.info
  • passkeysetup.com

Questi siti sono copie quasi perfette dell’interfaccia ufficiale di LastPass. Inserisci le tue credenziali credendo di stare accedendo a una pagina sicura, ma in realtà stai consegnando la tua master password direttamente ai criminali.

Chi c’è dietro questo attacco

Secondo i ricercatori di sicurezza, questa campagna è attribuita al gruppo criminale CryptoChameleon, già noto per orchestrare sofisticate campagne di phishing e truffe ad alto impatto.

Ciò che rende questo attacco particolarmente pericoloso è che non si limita alle email:

  • Gli attaccanti hanno effettuato vere e proprie chiamate telefoniche fingendosi operatori del supporto clienti LastPass
  • Utilizzavano informazioni personali dettagliate per aumentare la credibilità
  • Convincevano gli utenti a fornire dati sensibili attraverso una conversazione diretta

Questa combinazione di phishing via email e ingegneria sociale telefonica dimostra quanto sofisticati siano diventati i cybercriminali.

Cosa rende questo attacco ancora più pericoloso

Un aspetto allarmante di questa campagna è che non prende di mira solo le password tradizionali, ma anche le passkey. Le passkey sono considerate uno dei sistemi di autenticazione più moderni e sicuri disponibili oggi, basati su standard FIDO2/WebAuthn.

Gli attaccanti hanno creato domini falsi specificamente progettati per intercettare le credenziali delle passkey, cercando di compromettere anche questo livello avanzato di protezione.

Come proteggerti

Verifiche immediate

  1. Esamina sempre l’indirizzo email completo: fai clic con il tasto destro sul mittente e seleziona “Visualizza dettagli” o una opzione simile nel tuo client di posta. LastPass comunicherà sempre da indirizzi che terminano con @lastpass.com

  2. Non accedere dai link nelle email: anche se l’email sembra perfettamente legittima, accedi sempre direttamente visitando lastpass.com nel tuo browser o aprendo l’app ufficiale

  3. Controlla gli URL: prima di inserire le tue credenziali, verifica che l’URL nella barra degli indirizzi sia esattamente lastpass.com e non una variazione come lastpass-verify.com

Protezioni aggiuntive

  • Abilita l’autenticazione a due fattori (MFA): anche se qualcuno ottiene la tua master password, non potrà accedere senza il secondo fattore di autenticazione
  • Usa una passkey: se disponibile per il tuo account, una passkey fornisce un livello di protezione ancora più elevato
  • Aggiorna regolarmente: assicurati di avere sempre l’ultima versione dell’app LastPass installata sul tuo dispositivo
  • Segnala le email sospette: inoltrale a [email protected] per aiutare LastPass a identificare e bloccare ulteriori attacchi

La risposta di LastPass

LastPass ha confermato che non richiederà mai la tua master password via email e non forzerà mai gli utenti a compiere azioni immediate sotto pressione.

L’azienda sta collaborando con partner esterni e registrar di domini per smantellare l’infrastruttura fraudolenta sottostante a questi attacchi. Inoltre, LastPass ha sottolineato l’importanza della vigilanza dei clienti che segnalano messaggi sospetti.

L’azienda ha anche confermato che sta rafforzando continuamente la sua sicurezza, con miglioramenti che includono:

  • Infrastruttura cloud e monitoraggio avanzato
  • Crittografia migliorata dei vault
  • Processi di hashing delle password ancora più robusti
  • Controlli di accesso più stringenti

Perché i gestori di password sono bersagli

I gestori di password come LastPass sono bersagli privilegiati per i cybercriminali. Se un attaccante riesce a ottenere accesso al tuo vault, ha accesso a tutte le tue password per tutti i tuoi account online.

È per questo motivo che le campagne di phishing mirate a LastPass sono così comuni e sofisticate. I criminali sanno che il ritorno dell’investimento è enorme.

Il panorama più ampio del phishing nel 2026

Questa campagna di LastPass non è un caso isolato. Nel 2025, il numero di kit di phishing-as-a-service è raddoppiato, e secondo le previsioni, entro la fine del 2026 oltre il 90% degli attacchi di compromissione delle credenziali potrebbe essere riconducibile a questi kit automatizzati.

I criminali stanno diventando sempre più sofisticati nell’uso di:

  • CAPTCHA malevoli per aggirare le difese automatizzate
  • Social engineering mirato ai processi di recupero dell’autenticazione
  • Tattiche per spingere gli utenti verso metodi MFA più deboli e facili da aggirare

Technical Deep Dive

Analisi tecnica del meccanismo di attacco

Da una prospettiva tecnica, questa campagna di phishing utilizza diverse tecniche avanzate:

Spoofing del display name: gli attaccanti sfruttano il fatto che i client di posta (specialmente su mobile) mostrano solo il campo “display name” dell’header From. L’email può avere un header come:

From: LastPass Support <attacker@malicious-domain.com>

Mostra “LastPass Support” all’utente, ma l’indirizzo effettivo appartiene al dominio dell’attaccante.

Reindirizzamento attraverso bucket AWS: gli attacchi iniziali utilizzano bucket AWS legittimi (come group-content-gen2.s3.eu-west-3.amazonaws.com) per reindirizzare le vittime verso i domini malevoli. Questo aggiunge un livello di legittimità agli occhi dei sistemi di filtraggio email.

Clonazione dell’interfaccia: i siti contraffatti utilizzano CSS e HTML estratti dal sito ufficiale di LastPass, creando una replica quasi perfetta. Tuttavia, il form di login invia le credenziali a un server controllato dagli attaccanti anziché ai server di LastPass.

Gestione delle sessioni: alcuni attacchi più sofisticati catturano le credenziali e poi reindirizzano l’utente al vero sito LastPass, creando l’illusione che il login sia stato effettuato correttamente. Nel frattempo, gli attaccanti utilizzano le credenziali rubate per accedere al vault.

Indicatori di compromissione (IoC)

Per i professionisti della sicurezza, alcuni indicatori tecnici di questa campagna includono:

  • Domini malevoli registrati di recente con registrar compromessi
  • Pattern specifici negli oggetti delle email
  • Indirizzi IP associati ai server di phishing
  • Certificati SSL per domini contraffatti
  • URL che contengono parametri di reindirizzamento verso bucket AWS

Implicazioni per l’architettura di sicurezza

Questa campagna dimostra l’importanza di implementare:

  • DMARC, SPF e DKIM: per prevenire lo spoofing del dominio mittente
  • URL filtering avanzato: per rilevare domini contraffatti anche quando ben costruiti
  • Sandboxing delle email: per detonare allegati e link in ambienti isolati
  • Threat intelligence feeds: per identificare rapidamente nuovi domini malevoli
  • Behavioral analysis: per rilevare pattern di accesso anormali ai vault password

Per gli utenti finali, l’implementazione di WebAuthn/FIDO2 (passkey) fornisce una protezione crittografica che rende il phishing di password molto meno efficace, poiché le passkey sono legate al dominio e non possono essere utilizzate su siti contraffatti.

Evoluzione futura degli attacchi

I ricercatori prevedono che gli attacchi di phishing continueranno a evolversi, con:

  • Uso più diffuso di intelligenza artificiale per personalizzare i messaggi
  • Social engineering sempre più sofisticato basato su dati raccolti da breach precedenti
  • Attacchi multi-vettore che combinano email, telefonate e messaggi su social media
  • Sfruttamento di vulnerabilità zero-day nei browser e nei client di posta

Fonte: https://gbhackers.com/lastpass-support/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto