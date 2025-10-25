 LastPass: furto di password con certificato di morte
I cybercriminali inviano email agli utenti di LastPass per chiedere di confermare l'esistenza in vita, inserendo la master password dell'account.
Sicurezza
Bleeping Computer

Dopo quello di pochi giorni fa, LastPass ha rilevato altri attacchi di phishing contro il suo password manager. A partire da metà ottobre, il gruppo CryptoChamemelon cerca di ingannare gli utenti sfruttando la funzionalità che consente a persone di fiducia di accedere all’account.

Come si deduce dal nome, i cybercriminali di CryptoChamemelon sono specializzati nel furto di criptovalute. Ciò avviene attraverso attacchi di phishing, ingegneria sociale e siti fasulli simili a quelli legittimi di note piattaforme, tra cui Coinbase, Binance, Kraken e Gemini (gli URL contengono i nomi dei servizi per ingannare gli utenti).

In questo caso, l’obiettivo è rubare le credenziali dei wallet conservate in LastPass. L’attacco inizia con l’invio di email che sembrano arrivare dal supporto clienti. Nel testo è scritto che un membro della famiglia ha caricato un certificato di morte per accedere all’account.

LastPass permette infatti di scegliere una persona fidata in caso di morte o altro impedimento. Se il proprietario non risponde entro una determinata scadenza, il presunto “erede” accede all’account. Spinto quindi dall’urgenza, l’utente non presta attenzione all’indirizzo email del mittente e clicca sul link nel messaggio per cancellare la richiesta (dimostrando di essere ancora vivo).

Il link porta su un sito di phishing che sembra legittimo, i cui deve essere inserita la master password. In questo modo, i cybercriminali possono accedere a tutte le credenziali. In alcuni casi, la vittima viene contattata telefonicamente da un presunto supporto clienti che conferma l’urgenza e la necessità di inserire la master password.

LastPass ricorda agli utenti che non chiederà mai la master password. Chi riceve email, SMS o chiamate sospette non deve rispondere, ma contattare la software house per chiarimenti.

Fonte: Bleeping Computer

Pubblicato il 25 ott 2025

Luca Colantuoni
Pubblicato il
25 ott 2025
