A LastPass emitiu um alerta sobre uma nova campanha de phishing que se apresenta como uma notificação de manutenção do serviço, solicitando que os usuários façam backup de seus cofres em um prazo de 24 horas. Os e-mails maliciosos contêm links que supostamente direcionam os usuários para um site onde poderiam criar um backup criptografado, mas na verdade visam roubar senhas mestras e sequestrar contas. A empresa enfatiza que não está solicitando backups e que essa tática é comum em ataques de engenharia social. A campanha foi identificada pela equipe de Inteligência de Ameaças da LastPass e começou em 19 de janeiro, com mensagens enviadas de endereços como ‘support@lastpass[.]server8’ e ‘support@sr22vegas[.]com’. Os e-mails, que imitam comunicações legítimas da LastPass, criam um senso de urgência para enganar os usuários. A LastPass recomenda que os usuários nunca compartilhem suas senhas mestras e que relatem incidentes suspeitos. A campanha foi lançada durante um feriado nos EUA, visando uma resposta menos ágil dos usuários. O site de phishing, ‘mail-lastpass[.]com’, estava fora do ar no momento da reportagem.
Fonte: https://www.bleepingcomputer.com/news/security/fake-lastpass-emails-pose-as-password-vault-backup-alerts/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
21/01/2026 • Risco: ALTO
PHISHING
LastPass alerta sobre nova campanha de phishing disfarçada
RESUMO EXECUTIVO
A campanha de phishing em questão representa um risco significativo para os usuários da LastPass, com potencial para comprometer dados sensíveis. A urgência criada pelos atacantes é uma tática comum que pode levar a um aumento no número de vítimas. A proteção das credenciais dos usuários é crucial para evitar danos financeiros e de reputação.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a fraudes e danos à reputação.
Operacional
Possível roubo de senhas mestras e sequestro de contas.
Setores vulneráveis
['Tecnologia', 'Financeiro', 'Serviços Online']
📊 INDICADORES CHAVE
Campanha começou em 19 de janeiro.
Indicador
E-mails enviados de endereços falsos.
Contexto BR
Urgência criada para enganar usuários.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se houve acesso não autorizado às contas dos usuários.
2
Alertar os usuários sobre a campanha e reforçar a importância de não compartilhar senhas mestras.
3
Monitorar continuamente tentativas de phishing e atividades suspeitas relacionadas ao LastPass.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança dos dados dos usuários e a reputação da empresa, especialmente em serviços amplamente utilizados como o LastPass.
⚖️ COMPLIANCE
Implicações na LGPD, especialmente se dados pessoais forem comprometidos.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
