Sabato 04 Luglio 2026 07:54:46 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Security Awareness & Social Engineering

Allerta rossa: sofisticata truffa via email prende di mira gli utenti LastPass in un tentativo di furto del vault

Pubblicato: 05 Marzo 2026 01:12Categoria: Security Awareness & Social EngineeringAutore: LOGICFALCON

Una convincente campagna di phishing imita l’assistenza LastPass per indurre gli utenti a consegnare le proprie password principali.

Quando nella tua casella di posta arriva un’email urgente che avverte di attività sospette sul tuo vault di password, esiteresti prima di cliccare? È esattamente su questo che contano i cybercriminali nell’ultima ondata di attacchi di phishing che prende di mira gli utenti del popolare password manager LastPass. Lo schema è più elaborato della maggior parte, intrecciando falsi thread di email e dirottando la fiducia nel supporto clienti per attirare le vittime a consegnare le chiavi del loro regno digitale.

Secondo un recente avviso di LastPass, gli aggressori stanno inviando email che impersonano il team di supporto dell’azienda. Questi messaggi sono costruiti con oggetti pensati per sembrare conversazioni interne, che coinvolgerebbero presunte richieste di modifica dell’indirizzo email principale di un utente. Le email vengono poi “inoltrate” alla vittima designata, creando un senso di autenticità - e, cosa ancora più importante, di panico.

Le email spingono gli utenti ad agire in fretta, offrendo link etichettati “segnala attività sospetta”, “disconnetti e blocca il vault” o “revoca dispositivo”. Ma cliccare su uno qualsiasi di questi non aiuta a mettere in sicurezza l’account - al contrario, reindirizza a una convincente pagina di accesso falsa ospitata su domini come “verify-lastpass[.]com”. Lì, le tue credenziali vengono raccolte dagli aggressori.

La campagna è subdola nei dettagli. Vengono usati più indirizzi mittente, spesso non collegati a LastPass, ma camuffati con il nome visualizzato “LastPass Support”. Gli aggressori sfruttano siti web compromessi e domini abbandonati per inviare le loro email, rendendo più difficile per i filtri antispam e per gli investigatori risalire all’operazione. Nel frattempo, gli URL stessi sono varianti leggermente alterate che reindirizzano tutte alla stessa pagina di phishing, aumentando le probabilità che almeno una riesca a superare la diffidenza di un utente prudente.

Fondamentale, LastPass ha confermato che la propria infrastruttura non è stata toccata. I sistemi dell’azienda non sono stati violati; invece, l’attacco si basa sul social engineering - manipolando la fiducia e il senso di urgenza degli utenti. LastPass ribadisce che i suoi veri operatori dell’assistenza non chiederanno mai una password principale e invita gli utenti a segnalare qualsiasi comunicazione sospetta al proprio indirizzo email per gli abusi. L’azienda sta collaborando con i partner per rimuovere i siti falsi il più rapidamente possibile.

Non è la prima volta che LastPass finisce nel mirino. All’inizio di quest’anno, un’altra campagna ha usato false notifiche di manutenzione per attirare gli utenti su pagine di phishing. Truffe precedenti hanno persino sostenuto che gli utenti fossero morti o che l’azienda avesse subito una violazione, tutto per spingere gli utenti a compromettersi da soli. La lezione è chiara: quando si tratta delle tue password, la paranoia è una virtù.

Man mano che le tattiche di phishing diventano più sofisticate, la vigilanza è l’unica vera salvaguardia. La prossima volta che ricevi un messaggio urgente - anche da un servizio di cui ti fidi - fermati prima di cliccare. Nel mondo digitale, lo scetticismo è la tua migliore difesa.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • Social Engineering: Il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
  • Spoofing: Lo spoofing è una tecnica in cui gli aggressori inviano dati falsi, come segnali GPS o email, per ingannare i destinatari o gli utenti e far accettare informazioni non veritiere.
  • Credential Harvesting: Il credential harvesting è il furto di dati di accesso, come nomi utente e password, spesso tramite siti web falsi o email ingannevoli.
  • Compromised Website: Un sito web compromesso è un sito legittimo violato dagli aggressori per distribuire malware, rubare dati o reindirizzare gli utenti verso contenuti malevoli senza che il proprietario ne sia a conoscenza.