Campanha de phishing mira usuários do LastPass com e-mails falsos de suporte
Uma campanha de phishing sofisticada e em andamento está visando usuários do gerenciador de senhas LastPass. Os atacantes enviam e-mails de suporte falsos que simulam uma ameaça interna para induzir as vítimas a entregar voluntariamente suas senhas mestres do cofre. A campanha, identificada pela equipe TIME do LastPass e confirmada em um comunicado público em 3 de março de 2026, não explora uma vulnerabilidade técnica nos sistemas da empresa, mas sim a engenharia social, representando um risco direto aos usuários.
O que mudou agora
A campanha, que começou por volta de 1º de março de 2026, ganhou escala significativa. Os atacantes estão encaminhando correntes de e-mail fabricadas que simulam tentativas não autorizadas de ações na conta da vítima, como exportação de dados do cofre, recuperação total da conta ou registro de um novo dispositivo confiável. Essa tática cria um senso imediato de urgência, pressionando o usuário a clicar em links fornecidos antes que um "dano" supostamente ocorra.
Vetor e exploração
O elemento tecnicamente mais eficaz desta campanha é o spoofing do nome de exibição (display name spoofing). Os atacantes manipulam apenas o nome visível no campo "De" do e-mail, enquanto o endereço real de envio pertence a domínios não relacionados, como hancochem[.]at, salud5i[.]cl, remstal-praxis[.]de e kreducationsa[.]com. Em aplicativos de e-mail móveis, que normalmente mostram apenas o nome do remetente, a falsificação é particularmente convincente.
Ao clicar no link, a vítima é redirecionada através de múltiplos URLs antes de chegar a uma página de login falsa de single sign-on (SSO) hospedada em verify-lastpass[.]com. Para dificultar a detecção, os atacantes geram versões ligeiramente modificadas do URL adicionando números diferentes ao final, criando um grande pool de links com aparência única que apontam para a mesma página de phishing.
Impacto e alcance
O momento em que um usuário insere sua senha mestra na página falsa é o ponto de captura. Com essa credencial, o atacante obtém acesso total a tudo armazenado no cofre do LastPass da vítima. As páginas de phishing estão sendo servidas a partir de endereços IP como 172.67.200[.]82, 104.21.21[.]204 e 52.102.103[.]4. A equipe TIME do LastPass está trabalhando ativamente com parceiros de terceiros para derrubar os sites maliciosos o mais rápido possível.
Orientações de segurança
O LastPass reforça que sua equipe nunca solicitará a senha mestra por e-mail ou qualquer outro canal de comunicação. A empresa orienta os usuários a tratar qualquer e-mail inesperado que faça referência a atividades da conta com extrema suspeita. Em caso de dúvida sobre a legitimidade de uma mensagem, os usuários devem reportá-la diretamente para abuse@lastpass.com para investigação da equipe de segurança. A recomendação principal é sempre inspecionar o endereço completo do remetente em qualquer e-mail relacionado à segurança, evitar clicar em links que alegam detecção de atividade na conta e acessar o site oficial do LastPass digitando o endereço diretamente no navegador.