Email Dukungan Palsu LastPass Coba Curi Password Vault Pengguna
LastPass memperingatkan adanya kampanye phishing yang menargetkan penggunanya melalui email peringatan akses akun tidak sah yang dipalsukan.
Dalam kampanye ini, pelaku menyamar sebagai perwakilan dukungan LastPass dengan memalsukan nama tampilan pengirim menjadi “LastPass Support”. Subjek email dirancang menyerupai percakapan internal yang diteruskan, seolah-olah terjadi diskusi antara penyerang dan tim dukungan pelanggan terkait permintaan perubahan alamat email utama akun.
Taktik Urgensi dan Tautan Palsu
Rangkaian email tersebut diteruskan kepada korban untuk memicu rasa panik dan urgensi. Di dalamnya terdapat tautan bertuliskan “report suspicious activity”, “disconnect and lock vault”, serta “revoke device”.
Ketika tautan diklik, korban diarahkan ke halaman login LastPass palsu yang dihosting di domain verify-lastpass[.]com. Situs ini dirancang untuk mengumpulkan kredensial pengguna, termasuk password utama (master password) vault.
Tim Threat Intelligence, Mitigation, and Escalation (TIME) LastPass menyebut pelaku juga menggunakan variasi URL serupa yang mengarah ke halaman phishing yang sama. Kampanye ini memanfaatkan berbagai alamat pengirim dan variasi subjek untuk meningkatkan kredibilitas serta menyulitkan pelacakan.
Sebagian besar alamat pengirim tidak terkait dengan merek LastPass dan dibuat dari situs yang telah dikompromikan atau domain yang ditinggalkan. Namun, penggunaan nama tampilan “LastPass Support” dimaksudkan untuk menipu korban agar mengabaikan alamat email sebenarnya.
Infrastruktur Tidak Terdampak
LastPass menegaskan bahwa infrastruktur internal perusahaan tidak dikompromikan dan tidak ada dampak terhadap sistemnya.
Perusahaan juga mengingatkan bahwa agen dukungan resmi tidak pernah meminta master password pengguna dalam keadaan apa pun. Pengguna diminta untuk tidak membagikan informasi tersebut kepada siapa pun.
Saat ini, LastPass bekerja sama dengan mitra pihak ketiga untuk menurunkan situs phishing tersebut secepat mungkin. Pengguna yang menerima komunikasi mencurigakan diminta melaporkannya ke [email protected].
Target Berulang bagi Phisher
Sebagai salah satu pengelola kata sandi paling populer, LastPass kerap menjadi sasaran kampanye phishing. Pada Januari lalu, perusahaan juga memperingatkan kampanye lain yang menyebarkan notifikasi pemeliharaan palsu dan meminta pengguna mencadangkan vault dalam 24 jam.
Pada akhir 2025, dua kampanye tambahan menargetkan pengguna LastPass, termasuk skema klaim kematian pengguna palsu serta email yang mengklaim perusahaan diretas dan mendesak pengguna mengunduh versi aplikasi baru.
Serangan terbaru ini kembali menyoroti pentingnya kewaspadaan terhadap email yang menciptakan rasa urgensi, terutama yang meminta tindakan terkait akun atau keamanan digital.
