Phishing ciblant LastPass : des attaquants exploitent la procédure d’accès d’urgence
LastPass alerte sur une nouvelle campagne de phishing
LastPass a signalé une campagne de phishing visant à tromper les utilisateurs pour qu’ils révèlent leur mot de passe maître et leurs clés d’authentification. Les cybercriminels prétendent qu’un proche a soumis un certificat de décès afin d’obtenir l’accès au coffre-fort de la victime et invitent celle-ci à cliquer sur un lien pour contester la demande.
Comment fonctionne l’attaque
- Le groupe identifié comme CryptoChameleon (également UNC5356) est à l’origine de la campagne, ciblant notamment des utilisateurs de cryptomonnaies.
- Les attaquants exploitent la fonction » accès d’urgence » de LastPass : lorsqu’un membre de la famille signale le décès d’un titulaire, LastPass exige un certificat officiel et envoie parallèlement un message au compte concerné pour vérification.
- Les fraudeurs ont usurpé l’adresse
[email protected]et utilisé un objet alarmant : » Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED) » (Demande d’accès héritage ouverte – URGENT SI VOUS N’ÊTES PAS DÉCÉDÉ). - Le corps du message contient des informations falsifiées (numéro d’agent, date d’ouverture, niveau de priorité) pour sembler crédible.
- La victime est redirigée vers un site frauduleux – notamment lastpassrecovery.com – qui imite l’interface LastPass et demande le mot de passe maître.
- Des appels téléphoniques ont aussi été signalés : des personnes se faisant passer pour des représentants de LastPass pressent les utilisateurs de se rendre sur le site frauduleux.
Passkeys et nouvelles tactiques
LastPass indique que les attaquants poursuivent désormais la récupération de passkeys. Plusieurs sites de phishing, y compris des variantes de mypasskey.info, ont été mis en place pour conduire les utilisateurs à enregistrer de nouvelles clés sur des domaines malveillants, approuver des synchronisations frauduleuses ou désactiver des passkeys pour revenir à des méthodes moins sécurisées.
Réponse de LastPass et recommandations
- LastPass déclare avoir déployé des efforts pour interrompre la campagne et faire retirer le site initial.
- L’éditeur invite les utilisateurs à la vigilance et à signaler tout e-mail, SMS ou appel suspect à [email protected].
Conseils pratiques : ne jamais saisir votre mot de passe maître sur un site dont vous n’avez pas vérifié l’URL, ne pas répondre à des sollicitations urgentes non sollicitées, et contacter LastPass via les canaux officiels si vous avez un doute.
Articles connexes
Se reconvertir dans la cybersécurité : guide pratique pour réussir
Se reconvertir dans la cybersécurité : guide pratique pour réussirLa cybersécurité attire de plus en plus de profils en reconversion. Face à l’augmentation des cyberattaques et à des besoins de recrutement persistants, ce secteur offre des opportunite9s varie9es. Cet article rassemble les principaux points e0 connaeetre pour envisager et re9ussir une transition professionnelle vers la […]
Valeur des données personnelles: ce que révèlent les Français selon la CNIL
Valeur des données personnelles: ce que révèlent les Français selon la CNILLe 17 novembre 2025, la Commission nationale de l’informatique et des libertés (CNIL) a publié des résultats détaillés sur la valeur que les citoyens attribuent à leurs donnees personnelles. Fonde9 sur un sondage mene9 en de9cembre 2024, ce travail offre un eclairage sur la […]
Lighthouse et la ‘Triade du smishing’ : Google accuse un kit de phishing-as-a-service
Lighthouse et la ‘Triade du smishing’ : Google accuse un kit de phishing-as-a-serviceDes SMS frauduleux annonçant un colis qui n’entre pas dans la boîte aux lettres ou un montant de péage impayé sont parmi les scénarios utilisés par des campagnes de smishing. Selon Google, ces arnaques pourraient être largement organisées au moyen d’un kit de […]