Aktuell kursiert eine ausgefeilte Phishing-Kampagne, die sich gezielt an LastPass-Nutzer richtet. Angreifer versenden gefälschte Warnungen zu angeblich unautorisierten Logins und tarnen sich in E-Mail-Verläufen als legitimer Support. Ziel ist es, dich zur Preisgabe deines Master-Passworts oder zur Eingabe auf einer gefälschten Login-Seite zu verleiten.

LastPass warnt vor dieser Masche – und Unternehmen sollten sie ernst nehmen. Denn Social-Engineering-Angriffe sind häufig die Vorstufe zu Kontoübernahmen, Datenabfluss und im schlimmsten Fall Ransomware-Vorfällen.

Wie die neue Phishing-Masche funktioniert

Die Täter kombinieren Phishing mit überzeugendem Social Engineering. Dazu nutzen sie realistisch wirkende E-Mails im Stil von „Ungewöhnlicher Login erkannt“ oder „Ihr Tresor wurde aus einem neuen Land geöffnet“ – versehen mit Ticketnummern, Signaturen und scheinbar professionellen Fußzeilen.

Fake-Support im E-Mail-Thread

Besonders perfide: Die Kommunikation wird als Antwort in einen bestehenden E-Mail-Thread gekleidet oder so gestaltet, als sei bereits ein Support-Fall eröffnet. Dadurch steigt die Glaubwürdigkeit. In einigen Fällen fordern die Angreifer dich auf, direkt zu antworten oder einem Link zu folgen, um den Account „sofort zu sichern“. Häufige Taktiken:

• Lookalike-Domains (z. B. vertauschte Buchstaben) und täuschend echte Absendernamen
• Links zu Phishing-Seiten, die der LastPass-Anmeldung optisch stark ähneln
• Telefonnummern für vermeintlichen „24/7-Support“, die direkt zum Angreifer führen (Vishing)

Die Psychologie der Dringlichkeit

Die E-Mails arbeiten mit Zeitdruck, Unsicherheit und Autorität. Begriffe wie „Sperrung droht“ oder „letzte Warnung“ verleiten zu schnellen – und oft falschen – Entscheidungen. Typische psychologische Hebel: Dringlichkeit, Angst vor Datenverlust, Autoritätsbezug („Security Team“).

Warum Passwort-Manager trotzdem sinnvoll bleiben

Die Kampagne zielt auf den Menschen, nicht auf die Kryptografie. Seriöse Passwort-Manager speichern Tresorinhalte verschlüsselt und kennen dein Master-Passwort nicht (Zero-Knowledge-Prinzip). Kein Support-Mitarbeiter wird dich je nach deinem Master-Passwort fragen. Das Problem ist also nicht das Tool an sich, sondern der Missbrauch durch Social Engineering.

Pro und Contra: Passwort-Manager und Passkeys

• Pro Passwort-Manager: Einzigartige, lange Passwörter; sichere Speicherung; Autofill verhindert Tippfehler; zentrale Verwaltung im Unternehmen.
• Contra Passwort-Manager: Master-Passwort bleibt Single Point of Failure, wenn Nutzer getäuscht werden; Onboarding und Policy-Management nötig.
• Pro Passkeys/FIDO2: Phishing-resistente Anmeldung; keine Passwörter, die abgefischt werden können; starke Kryptografie auf Hardware/Device.
• Contra Passkeys/FIDO2: Rollout-Aufwand, Kompatibilität pro Dienst prüfen; Recovery-Strategie und Geräteverwaltung erforderlich.

Praxis-Tipp: Kombiniere heute Passwort-Manager mit starker MFA und bereite den schrittweisen Umstieg auf Passkeys vor – besonders für kritische Konten.

Unternehmensrisiken: Von Account-Übernahme bis Ransomware

Gelingt die Täuschung, droht mehr als ein kompromittiertes Privatkonto. Angreifer können über abgefischte Zugangsdaten interne Systeme erreichen, Lateral Movement versuchen und im schlimmsten Fall Ransomware nachladen. Auch Business Email Compromise (BEC) und Datendiebstahl sind typische Folgeschäden. Moderne Angriffsketten kombinieren Phishing mit Techniken wie Token-Diebstahl, MFA-Push-Bombing oder Ausnutzung ungepatchter Zero-Day-Lücken – wer hier nicht mehrschichtig schützt, läuft Gefahr, dass ein einzelner Fehlklick zum Vorfall eskaliert.

Fazit: Diese LastPass-Phishing-Kampagne reiht sich in den Trend hochgradig maßgeschneiderter Social-Engineering-Attacken ein. Der Verteidigungshebel liegt deshalb in der Kombination aus Technik, Prozessen und kontinuierlicher Security Awareness.

So schützt du dich und dein Team – konkrete Maßnahmen

1) Technische Härtung

• Phishing-resistente MFA: Setze wo möglich auf FIDO2-Sicherheitsschlüssel oder Passkeys. Vermeide reine SMS-Codes.
• E-Mail-Schutz: SPF, DKIM und DMARC auf „reject“ ausrollen; SEGs oder Cloud-E-Mail-Security mit URL-Detonation und Anomalieerkennung nutzen.
• Browser- und Download-Schutz: Isolationslösungen oder strikte Policies gegen das automatische Ausführen von Inhalten; blockierte Makros.
• Domain Monitoring: Typosquatting-Domains früh erkennen und melden; Lookalike-Erkennung aktivieren.
• Conditional Access & Risk-Based Auth: Ungewohnte Logins (Geovelocity, neue Geräte) automatisch härter prüfen oder blocken.

Vertiefe das Thema in unserem Leitfaden: Zero-Trust-Guide. Weitere Grundlagen in unserem Security‑Blog.

2) Prozesse und Schulung

• Awareness-Trainings: Regelmäßige, praxisnahe Trainings zu Phishing, Vishing und Social Engineering. Siehe Awareness-Trainings.
• Phishing-Simulationen: Realitätsnahe Kampagnen mit direktem Feedback. Starte mit Phishing‑Simulationen.
• Klare Kommunikationsregeln: Definiere, welche Informationen Support niemals abfragt (z. B. Master-Passwort) und welchen Kanal Mitarbeitende für Verifikation nutzen sollen.
• Reporting leicht machen: „Phish melden“-Button in Mail-Clients; klare SLAs für das Security-Team.

3) Incident Response bei Verdacht

• Nichts eingeben, nichts klicken: Verdächtige E-Mail an das Security-Team weiterleiten; keine Antworten an den mutmaßlichen Angreifer.
• Konten absichern: Master-Passwort ändern, Tresor neu verschlüsseln (wo unterstützt), MFA erneuern, aktive Sessions und Tokens widerrufen.
• Forensik und Meldung: Header analysieren, Domains blockieren, Indikatoren teilen. Vorfälle gemäß Policy melden, ggf. an den Anbieter/Cert.

Checkliste und Playbooks findest du in unserem Bereich Incident Response.

Praxisbeispiel: Beinahe-Zwischenfall

Ein mittelständisches Tech-Unternehmen erhielt eine „Ticket-Antwort“ vom vermeintlichen LastPass-Support: Angeblich sei ein Login aus Osteuropa erkannt worden, man solle zur „Sicherung“ dem Link folgen. Eine Mitarbeiterin klickte – stoppte aber, als der Browser keine offizielle Domain anzeigte. Sie meldete die Mail, das SOC blockte die Domain, aktualisierte die E-Mail-Filter und nutzte den Fall für ein Learning Nugget im Intranet. Ergebnis: gesteigerte Sensibilisierung ohne Schaden.

Fazit: Ruhe bewahren, Prozesse schärfen, phish-resistent werden

Gefälschte LastPass-Support-Mails sind kein Grund zur Panik, aber ein klarer Handlungsauftrag. Stärke deine IT-Sicherheit mit phish-resistenter MFA, sauberer E-Mail-Authentifizierung, klaren Prozessen und kontinuierlicher Schulung. So entziehst du Social-Engineering-Angriffen die Wirkung.

Nächste Schritte: Starte eine Phishing-Simulation in deinem Team, aktualisiere deine Awareness-Trainings und prüfe deine DMARC-Policy. Für strategische Planung empfehlen wir unseren Zero-Trust‑Guide.