© pixora / 123RF.com

Kürzlich waren LastPass-Anwender Ziel von Phishing-E-Mails. Mit einer angeblichen Wartung und einer 24-Stunden-Frist bauten sie Druck auf, um die Empfänger über einen Link zur Preisgabe sensibler Zugangsdaten zu verleiten.

LastPass ist ein Passwortmanager, der Anmeldedaten und andere vertrauliche Informationen in einem verschlüsselten Tresor (Vault) ablegt. Technisch verfährt er nach dem Prinzip der clientseitigen Verschlüsselung: Der Tresor wird auf dem Endgerät verschlüsselt und dort erst dann wieder entschlüsselt, wenn der Anwender ihn mit dem Master-Passwort öffnet. Der Server sieht idealerweise nur verschlüsselte Daten und verwaltet vor allem die Synchronisation.

Über Browser-Erweiterungen und Apps lässt sich der Tresor zum automatischen Ausfüllen von Login-Formularen nutzen. Häufig werden dabei Formularfelder erkannt, die Domain abgeglichen und die jeweiligen Input-Felder ausgefüllt. Die Synchronisation zwischen Geräten erfolgt üblicherweise über transportverschlüsselte Verbindungen, während der Inhalt zusätzlich im Vault-Format selbst verschlüsselt bleibt.

Vor kurzem kursierte eine Phishing-Attacke, die gezielt LastPass-Anwender adressierte und darauf abzielte, Zugang zum Vault zu erlangen. Die E-Mails waren so aufgebaut, dass sie in Ton und Layout wie Service-Mitteilungen wirkten: wechselnde Absender, variierende Betreffzeilen und ein Text, der eine angeblich anstehende Wartung oder ein Infrastruktur-Update als Anlass vorschob. Der eigentliche Hebel ist der Zeitdruck.

Dabei sollte dem aufmerksamen Empfänger allerdings auffallen, dass die behauptete Notwendigkeit, innerhalb von 24 Stunden ein Backup anzulegen, nicht zu einem normalen Support- oder Wartungsprozess passt. Vielmehr ist das ein klassischer Social-Engineering-Mechanismus: Eine plausible Begründung (“Maintenance”), kombiniert mit einer knappen Deadline (“24 Stunden”), erzeugt Handlungsdruck und senkt die Wahrscheinlichkeit, dass Sicherheitschecks ausgeführt werden. Auch das Timing ist Teil des Musters: Wird eine Welle in Phasen platziert, in denen weniger Personal zur Verfügung steht (zum Beispiel rund um Feiertage), kann das die Erkennung verzögern und den Angreifern mehr Zeit verschaffen, bis Gegenmaßnahmen greifen.

Technisch arbeiten die Täter mit einer Weiterleitungskette, die auf den ersten Blick seriös wirken kann, weil sie nicht sofort die finale Zielseite zeigt. Der Button in der E-Mail führt zunächst auf http://group-content-gen2.s3.eu-west-3.amazonaws.com/5yaVgx51ZzGf und leitet anschließend auf http://mail-lastpass.com weiter. Solche Ketten dienen häufig dazu, Filter auszutricksen: Gateways und Scanner bewerten den ersten Link, während die eigentliche Phishing-Seite erst nach einem Redirect zu sehen ist. Je nach Umsetzung kann die Weiterleitung über HTTP-Statuscodes (301/302/307), Meta-Refresh oder JavaScript erfolgen; außerdem können Zielseiten dynamisch anhand von User-Agent, Region oder Zeitpunkt ausgetauscht werden, um automatisierte Analysen zu erschweren. Gleichzeitig hilft eine Domain, die “LastPass” im Namen trägt dabei, die visuelle Plausibilität beim schnellen Überfliegen zu erhöhen.

Besonders kritisch ist in diesem Kontext das Master-Passwort. Es ist der zentrale Schlüssel zum Tresor, und eine Preisgabe kann den Schutzmechanismus des Vaults direkt aushebeln. Genau deshalb gilt als Faustregel: Niemand fragt nach dem Master-Passwort – weder per E-Mail noch telefonisch oder über angebliche Support-Formulare. Bei solchen Kampagnen geht es oft nicht nur um das Master-Passwort selbst, sondern auch um Zusatzdaten wie Einmalcodes, Recovery-Informationen oder das Einfangen einer Sitzung über nachgebaute Login-Seiten. Verdächtige Nachrichten sollten nicht beantwortet werden. Links, Buttons und Anhänge bleiben unangetastet. Bei Unsicherheit lässt sich eine mutmaßliche LastPass-Mail zur Prüfung an mailto:abuse@lastpass.com weiterleiten, statt dem in der Nachricht vorgeschlagenen Prozess zu folgen.

Im Zuge der Kampagne werden auch konkrete technische Indikatoren genannt, die bei der Einordnung helfen. Die S3-URL http://group-content-gen2.s3.eu-west-3.amazonaws.com/5yaVgx51ZzGf wird mit der IP 52.95.155.90 in Verbindung gebracht. Für http://mail-lastpass.com werden die IP-Adressen 104.21.86.78, 172.67.216.232 sowie 188.114.97.3 aufgeführt. Als auffällige Absender tauchen unter anderem mailto:support@sr22vegas.com sowie Varianten wie http://support@lastpass.server8, support@lastpass.server7 und http://support@lastpass.server3 auf; dazu werden IPs wie 192.168.16.19 und 172.23.182.202 genannt. Ergänzend ist aus technischer Sicht sinnvoll, bei verdächtigen Mails auf Authentifizierungsmerkmale zu achten, etwa ob SPF/DKIM/DMARC-Prüfungen “pass” ergeben, ob Reply-To und From-Domain zusammenpassen und ob der Linktext mit der tatsächlichen Ziel-URL übereinstimmt. Bei Phishing ist genau diese Diskrepanz häufig das stärkste Signal.

Der Vorfall unterstreicht, warum Passwort-Manager regelmäßig im Fokus von Kriminellen stehen: Sie bündeln sehr viele Konten hinter einer einzigen Schutzbarriere. Wenn Angreifer es schaffen, diese Barriere zu umgehen – sei es durch Phishing, durch abgegriffene Faktoren oder durch das Ausnutzen von Vertrauen und Routine – kann der Schaden unverhältnismäßig groß ausfallen, weil danach nicht ein Konto, sondern potenziell viele zugleich betroffen sind. (jcb)