LastPass: Betrüger nutzen Erbschafts-Feature für perfide Phishing-Attacke
Cyberkriminelle täuschen LastPass-Nutzer mit gefälschten Erbschaftsanträgen, um Master-Passwörter zu stehlen. Das Unternehmen warnt vor der raffinierten Social-Engineering-Kampagne und gibt Sicherheitshinweise.
Cyberkriminelle haben eine erschreckend raffinierte Betrugsmasche entwickelt: Sie täuschen LastPass-Nutzer mit gefälschten “Erbschaftsanträgen” und stehlen dabei Master-Passwörter. Die Angreifer versenden E-Mails mit schockierenden Betreffzeilen wie “DRINGEND FALLS SIE NICHT VERSTORBEN SIND” und nutzen dabei geschickt die Vererbungsfunktion des Passwort-Managers aus.
Seit Mitte Oktober kursieren diese perfiden Nachrichten, die vorgeben, ein Familienmitglied habe den Zugang zum Account des Empfängers beantragt – weil dieser angeblich verstorben sei. LastPass warnt offiziell vor der laufenden Bedrohung und fordert seine Nutzer zu äußerster Vorsicht auf.
Die Masche geht weit über herkömmliche Passwort-Reset-Betrug hinaus: Sie spielt gezielt mit den Ängsten rund um digitale Erbschaft, um Opfer zur Preisgabe ihrer kompletten Passwort-Sammlung zu bewegen.
So funktioniert der “Erbschafts”-Betrug
Der Angriff beginnt mit einer E-Mail, die den Empfänger schockieren und zu sofortigem Handeln bewegen soll. Laut Berichten und LastPass-Warnungen lautet die Betreffzeile oft: “Erbschaftsantrag eröffnet (DRINGEND FALLS SIE NICHT VERSTORBEN SIND)”.
Im Nachrichtentext heißt es dann fälschlicherweise: “Eine Sterbeurkunde wurde von einem Familienmitglied hochgeladen, um wieder Zugang zum LastPass-Konto zu erhalten.”
Für mehr Glaubwürdigkeit erfinden die Betrüger Details wie eine Live-Fallnummer, eine Agenten-ID, das Datum der angeblichen Fallöffnung und einen Prioritätsstatus. Die Nachricht enthält einen Link, über den der Nutzer den “Antrag stornieren” kann.
Doch dieser Link führt auf betrügerische Websites wie “lastpassrecovery[.]com” – täuschend echte Nachbildungen der offiziellen LastPass-Anmeldeseite. Wer dort sein Master-Passwort eingibt, übergibt den Angreifern faktisch die Schlüssel zu seinem gesamten digitalen Tresor.
Kriminelle setzen auf Telefonanrufe
Sicherheitsforscher vermuten hinter der Kampagne die berüchtigte Cybercrime-Gruppe CryptoChameleon, die bereits Mitarbeiter von Behörden wie der FCC ins Visier genommen hat. Besonders aggressiv: Die Täter rufen ihre Opfer direkt an.
Als falsche LastPass-Supportmitarbeiter setzen sie die Betroffenen unter Druck und versuchen, sie zur Eingabe ihrer Zugangsdaten auf der gefälschten Website zu bewegen. Diese Kombination aus gezielter E-Mail und manipulativen Anrufen erhöht die Erfolgsquote der Attacke erheblich.
LastPass reagiert mit klaren Warnungen
Das Unternehmen hat öffentliche Warnungen herausgegeben und betont: LastPass wird niemals per E-Mail oder Telefon nach dem Master-Passwort fragen. “Die E-Mail enthält die Behauptung, ein Live-Fall sei eröffnet worden, und führt erfundene Informationen auf… alles davon ist falsch”, warnt LastPass seine Nutzer.
Die wichtigsten Schutzmaßnahmen:
– Niemals Links anklicken in verdächtigen E-Mails, die angeblich von LastPass stammen
– Master-Passwort nur auf der offiziellen LastPass.com-Domain eingeben
– Zwei-Faktor-Authentifizierung aktivieren für zusätzlichen Schutz
– Verdächtige E-Mails sofort melden an abuse@lastpass.com
Anzeige: Passend zum Thema Phishing und Social Engineering: Viele Angriffe treffen Nutzer zuerst auf dem Smartphone – per E-Mail, SMS oder Messenger. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Android, leicht verständlich Schritt für Schritt – ganz ohne teure Zusatz-Apps. So schützen Sie WhatsApp, Online-Banking & Co. zuverlässig vor Datendieben und schließen häufig übersehene Lücken. Jetzt kostenloses Android‑Sicherheitspaket anfordern
Besorgniserregender Trend
Der Erbschafts-Betrug reiht sich in eine Serie von Phishing-Attacken gegen Passwort-Manager-Nutzer ein. Erst kürzlich erhielten LastPass-Kunden gefälschte Datenleck-Warnungen, die sie zum Download einer angeblich “sichereren” Desktop-Anwendung bewegen sollten – in Wahrheit Malware für Fernzugriff auf die Computer der Opfer.
Die Ausnutzung von Features wie digitaler Erbschaft zeigt: Angreifer entwickeln ihre Methoden kontinuierlich weiter. Account-Wiederherstellung und Erbschaftssysteme sind oft weniger bekannt und werden seltener genutzt – ideale Angriffsziele für Social Engineering.
Diese Features können die schwächste Stelle in ansonsten sicheren Systemen darstellen, da sie darauf ausgelegt sind, normale Anmeldeverfahren unter bestimmten Umständen zu umgehen.
Höchste Wachsamkeit gefordert
Die zunehmende Raffinesse von Phishing-Attacken auf Passwort-Tresore unterstreicht, wie wichtig das Bewusstsein der Nutzer ist. Während Angreifer ihre Social-Engineering-Taktiken verfeinern und auf Markenimitation sowie psychologische Manipulation setzen, bleibt gesunde Skepsis gegenüber unaufgeforderten Nachrichten die erste Verteidigungslinie.
Für Passwort-Manager-Anbieter macht der Vorfall deutlich: Sie müssen nicht nur ihre Kerntechnologie schützen, sondern auch die Verfahrensabläufe rund um Kontozugang, Wiederherstellung und Vererbung. Alle LastPass-Nutzer sollten E-Mails bezüglich Erbschaftszugang grundsätzlich misstrauen.
