Email Palsu LastPass Menyamar sebagai Peringatan Backup Vault Password
Pengguna LastPass kembali menjadi target kampanye phishing terbaru. Kali ini, pelaku menyebarkan email palsu yang menyamar sebagai notifikasi pemeliharaan layanan dan mendesak korban untuk segera melakukan backup password vault dalam waktu 24 jam.
LastPass mengonfirmasi bahwa email tersebut bukan berasal dari mereka dan merupakan upaya penipuan yang dirancang untuk menciptakan rasa panik dan urgensi, teknik klasik dalam serangan social engineering.
Modus Phishing: Backup Vault Palsu
Dalam email berbahaya tersebut, korban diminta mengklik tautan untuk membuat encrypted backup vault password mereka sebelum proses pemeliharaan infrastruktur dilakukan. Namun, tautan itu justru mengarah ke situs phishing yang bertujuan mencuri kredensial akun atau master password pengguna.
“LastPass tidak pernah meminta pelanggan untuk melakukan backup vault dalam 24 jam. Pesan ini jelas dibuat untuk menekan psikologis penerima agar bertindak cepat tanpa berpikir panjang,” tegas pihak LastPass.
Detail Kampanye Phishing
Tim Threat Intelligence, Mitigation, and Escalation (TIME) LastPass mendeteksi bahwa kampanye ini mulai aktif sejak 19 Januari 2026. Email phishing dikirim dari alamat mencurigakan seperti:
support@lastpass[.]server8support@sr22vegas[.]com
Dengan subjek email yang dibuat sangat meyakinkan, antara lain:
- LastPass Infrastructure Update: Secure Your Vault Now
- Protect Your Passwords: Backup Your Vault (24-Hour Window)
- Important: LastPass Maintenance & Your Vault Security
Isi email mengklaim bahwa meskipun data pengguna tetap aman, membuat backup lokal disebut sebagai langkah penting agar akses tidak terganggu selama masa pemeliharaan.
Tautan Berbahaya dan Waktu Serangan
Tombol “Create Backup Now” dalam email akan mengarahkan pengguna ke domain phishing seperti mail-lastpass[.]com. Situs tersebut sempat tidak dapat diakses saat laporan dibuat, namun diyakini telah digunakan untuk mencuri data korban.
Menariknya, serangan ini sengaja diluncurkan saat akhir pekan libur di Amerika Serikat, waktu di mana respons keamanan perusahaan biasanya lebih lambat.
Imbauan Resmi dari LastPass
LastPass kembali mengingatkan bahwa mereka tidak pernah meminta master password dalam bentuk apa pun. Pengguna diminta untuk:
- Mengabaikan email yang mendesak backup mendadak
- Tidak mengklik tautan atau tombol dalam email mencurigakan
- Melaporkan insiden phishing ke [email protected]
Kampanye phishing terhadap pengguna LastPass bukanlah hal baru. Sebelumnya, pada Oktober 2025, penyerang menggunakan isu kematian palsu untuk memancing proses legacy inheritance, dan beberapa minggu sebelumnya memanfaatkan email palsu bertema kebocoran data.
