LastPass avverte gli utenti della presenza di email false che chiedono la master password sotto pretesto di una manutenzione programmata e urgente.
Autore: Redazione SecurityOpenLab
LastPass ha pubblicato un avviso ufficiale per segnalare ai propri clienti una nuova campagna di phishing attiva che prende di mira gli utenti del servizio di gestione password, con l’obiettivo di indurli a rivelare la propria master password. Nella comunicazione si fa riferimento a un attacco di social engineering ben costruito: il messaggio si presenta come una comunicazione ufficiale di LastPass che annuncia un’imminente sessione di manutenzione del servizio. Gli oggetti delle email fraudolente sono LastPass Infrastructure Update: Secure Your Vault Now, Your Data, Your Protection: Create a Backup Before Maintenance, oppure Important: LastPass Maintenance & Your Vault Security.
Con il pretesto della manutenzione programmata è richiesta l’esecuzione del backup in locale dei propri dati entro un arco temporale di 24 ore. Il backup di per sé non è dannoso, ma la scadenza temporale molto stretta che viene imposta è il primo indizio di una truffa, perché trasmette un senso di urgenza che è tipico dell’approccio criminale di non lasciare alle potenziali vittime il tempo di valutare con calma tutti gli elementi.
Altro campanello di allarme è il link contenuto nella email, che porta a un sito visivamente simile all’originale, in cui è richiesto l’inserimento della master password. L’attaccante ha sfruttato un meccanismo di redirect per mascherare l’URL reale al quale l’utente viene inviato. Anche qualora l’utente non prestasse la dovuta attenzione al link, però, nessun dipendente di LastPass chiederebbe mai la master password a un utente, tanto meno via email. Questa richiesta permette di capire che ci si trova di fronte a un tentativo di truffa, sebbene il messaggio di per sé possa apparire molto simile alle comunicazioni legittime.
Purtroppo, ci sono molti utenti che non hanno colto questi segnali, con il risultato che la campagna, attiva dal 19 gennaio 2026, ha già mietuto un numero imprecisato di vittime.
Nella comunicazione ufficiale, LastPass ha diffuso un elenco di mittenti email sospetti collegati a questa campagna, e ha spiegato che sta collaborando con terze parti per disattivare l’infrastruttura criminale, che comunque non sarà un’operazione né rapida né semplice. Pertanto, è fondamentale essere prudenti e ignorare qualsiasi richiesta di inserimento della master password, a prescindere dal motivo o dalla provenienza.
Per dovere di cronaca, è doveroso ricordare che i gestori di password sono strumenti molto utili, ma proprio per la loro stessa funzione sono oggetto di grande interesse da parte dei cyber criminali. Vale quindi la pena ricapitolare alcune delle best practice da tenere sempre a mente: mai cliccare su link inaspettati e non richiesti ricevuti via email; verificare sempre l’origine di una richiesta attraverso i canali ufficiali; diffidare di ogni messaggio che richieda l’inserimento di credenziali.