LastPass Warns of Fake Maintenance Messages Targeting Users’ Master Passwords
Mis à jour :
Campagne de Phishing Ciblée sur LastPass : Urgence Artificielle pour Voler les Mots de Passe Maîtres
Une nouvelle campagne de phishing usurpe l’identité de LastPass, incitant les utilisateurs à croire à une maintenance imminente. Les emails frauduleux, envoyés depuis des adresses comme support@sr22vegas[.]com, créent un sentiment d’urgence en demandant aux destinataires de sauvegarder leur coffre-fort de mots de passe sous 24 heures.
Ces messages redirigent vers des sites web malveillants, notamment “group-content-gen2.s3.eu-west-3.amazonaws[.]com” puis “mail-lastpass[.]com”, dans le but de dérober les mots de passe maîtres. LastPass rappelle qu’il ne sollicitera jamais ce type d’information sensible et travaille à la neutralisation de ces infrastructures frauduleuses.
Points Clés :
- Technique d’Attaque : Phishing par email avec fausse urgence.
- Objectif : Vol du mot de passe maître de l’utilisateur.
- Tactique : Prétexte de maintenance obligatoire pour inciter à une action rapide.
- Infrastructure Malveillante : Utilisation de domaines et de sous-domaines usurpateurs.
Vulnérabilités Exploités :
- L’ingénierie sociale exploitant l’urgence et la peur de perdre des données.
Recommandations :
- Vigilance accrue : Se méfier des emails demandant des actions immédiates et la divulgation d’informations sensibles.
- Authentification des sources : Ne jamais cliquer sur des liens suspects ou inconnus. En cas de doute, accéder aux services directement via les canaux officiels.
- Ne jamais partager le mot de passe maître : LastPass affirme explicitement ne jamais demander le mot de passe maître.
- Rapports d’activité suspects : Encourager les utilisateurs à signaler toute communication suspecte aux équipes de sécurité.