LastPass-Nutzer im Visier raffinierter Todesfall-Masche

Cyberkriminelle nutzen gefälschte Todesfall-Meldungen und Telefonanrufe, um Zugang zu Passwort-Tresoren zu erlangen. Die Hackergruppe CryptoChameleon erweitert ihre Methoden um Passkey-Diebstahl.

Eine perfide Phishing-Kampagne terrorisiert aktuell Millionen LastPass-Nutzer mit erfundenen Todesmeldungen. Die Cyberkriminellen täuschen vor, Familienangehörige hätten den Tod des Nutzers gemeldet, um Zugang zum Passwort-Tresor zu erhalten. LastPass warnt eindringlich vor dieser psychologisch besonders heimtückischen Betrugsmasche.

Die seit Mitte Oktober laufende Attacke stammt von der bekannten Hackergruppe CryptoChameleon, die ihre Methoden drastisch verfeinert hat. Erstmals setzen die Kriminellen auch auf direkte Anrufe und versuchen sogar, moderne Passkeys zu stehlen. Die Angreifer nutzen dabei LastPass’ Vererbungsfunktion aus, um künstliche Panik zu erzeugen.

Perfide Psycho-Tricks mit Todesfall-Lügen

Der Angriff beginnt mit einer E-Mail, die aussieht wie eine offizielle LastPass-Warnung. Betreffzeilen wie „Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)” sollen Panik auslösen. Der Inhalt behauptet dreist, ein Familienmitglied habe eine Sterbeurkunde eingereicht, um auf den Passwort-Tresor zuzugreifen.

Zur Tarnung fügen die Betrüger gefälschte Fallnummern und Agent-IDs hinzu. Das Opfer soll schnell auf einen Link klicken, um den vermeintlichen Antrag zu stoppen. Dieser führt zu täuschend echten Fake-Websites wie „lastpassrecovery.com” – perfekte Kopien der echten LastPass-Anmeldeseite.

Besonders perfide: Manche Opfer erhalten anschließend Anrufe von falschen LastPass-Mitarbeitern, die sie am Telefon dazu drängen, ihre Master-Passwörter auf der Betrugseite einzugeben.

CryptoChameleon erweitert Arsenal um Passkey-Diebstahl

Sicherheitsforscher haben die Kampagne der Gruppe CryptoChameleon (auch UNC5356) zugeordnet. Die Kriminellen sind bekannt für ausgeklügelte Phishing-Angriffe auf Krypto-Börsen wie Binance und Coinbase. Diese LastPass-Attacke übertrifft jedoch alles Bisherige in Umfang und Raffinesse.

Neu ist der gezielte Angriff auf Passkeys – die als sicherer geltende Alternative zu Passwörtern. Die Hacker registrierten bereits Domains wie „mypasskey.info” und „passkeysetup.com”. Das zeigt: Sie bereiten sich auf die Zukunft der digitalen Sicherheit vor und wollen auch diese modernste Technologie kompromittieren.

Anzeige: Während Angreifer sogar Passkeys ins Visier nehmen, lohnt es sich, das eigene Smartphone konsequent abzusichern. Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen – dabei schützen sie WhatsApp, Online-Banking und PayPal zuverlässig vor Datendieben. Ein kostenloser Ratgeber erklärt die Schritte ohne teure Zusatz-Apps, leicht verständlich und mit Checklisten. Jetzt kostenloses Android-Sicherheitspaket sichern

Doppelschlag im Oktober: Zweite Kampagne mit Hack-Lügen

Parallel zur Todesfall-Masche läuft eine zweite Betrugs-Welle. Diese täuscht vor, LastPass sei gehackt worden. E-Mails mit Betreffzeilen wie „We Have Been Hacked” sollen Nutzer zum Download von Schadsoftware verleiten.

LastPass bestätigte: Es gab keinen Hack. Die gefälschten Websites werden gemeinsam mit Partnern wie Cloudflare gesperrt. Die zeitgleichen Kampagnen zeigen, wie sehr Passwort-Manager ins Visier geraten sind – sie sind der neuralgische Punkt für das gesamte digitale Leben.

Schatten des Datendiebstahls von 2022 wirkt nach

Die Wirksamkeit dieser Angriffe speist sich aus dem Vertrauen in Sicherheitstools. Durch die LastPass-Imitation schaffen Angreifer künstliche Autorität und Zeitdruck. Die Todesfall-Lüge ist psychologisch besonders wirkungsvoll – sie kombiniert Angst, Verwirrung und den Drang zu sofortigem Handeln.

Der große Datendiebstahl von 2022 bei LastPass wirkt bis heute nach. Damals stahlen Hacker verschlüsselte Kundendaten. Obwohl die Tresore selbst geschützt blieben, könnten die Kundenlisten für gezielte Phishing-Angriffe genutzt werden.

Experten-Rat: Gesunde Skepsis als beste Verteidigung

LastPass arbeitet intensiv an der Bekämpfung der Bedrohungen und betont: Niemals wird das Unternehmen nach Master-Passwörtern fragen – weder per E-Mail noch telefonisch. Verdächtige Nachrichten sollen an abuse@lastpass.com weitergeleitet werden.

Die Angriffe auf Passkeys zeigen: Kriminelle rüsten bereits für die nächste Sicherheitsgeneration auf. Nutzer sollten grundsätzlich skeptisch bei unaufgeforderten Nachrichten bleiben, besonders bei Zeitdruck-Forderungen.

Der beste Schutz: Immer direkt zur LastPass-Website navigieren statt auf E-Mail-Links zu klicken. Die Zwei-Faktor-Authentifizierung bleibt der wirksamste Zusatzschutz gegen Passwort-Diebstahl.

Weitere Artikel zum Thema

• 05:23 Uhr - Microsoft 365: Millionen Nutzer ohne Teams und
• 04:31 Uhr - Wien feiert Kulturhöhepunkt im Oktober
• 03:29 Uhr - LastPass: Betrüger nutzen Erbschafts-Feature
• 25.10.25 Uhr - Smishing-Triad: Millionen Deutsche im Visier
• 25.10.25 Uhr - LastPass-Nutzer im Visier raffinierter

• 25.10.25 Uhr - LastPass-Benutzer im Visier perfider Cyberattacken
• 25.10.25 Uhr - PayPal-Nutzer im Visier: Neue Betrugsmasche nutzt
• 25.10.25 Uhr - Microsoft Edge: KI-Revolution im Browser-Krieg
• 25.10.25 Uhr - Senioren erobern KI: Revolution im Altersheim
• 25.10.25 Uhr - Trading lernen im Live-Webinar: Starte jetzt mit