A LastPass, fornecedora de software de gerenciamento de senhas, emitiu um alerta sobre uma campanha de phishing que visa seus usuários. Os atacantes estão enviando e-mails que imitam representantes da LastPass, utilizando nomes de exibição falsificados e linhas de assunto que simulam conversas internas sobre solicitações de alteração de e-mail. Os e-mails contêm links que direcionam os usuários a uma página de login falsa, hospedada no domínio ‘verify-lastpass[.]com’, onde as credenciais dos usuários são coletadas. A LastPass esclareceu que sua infraestrutura não foi comprometida e que seus agentes de suporte nunca solicitarão a senha mestra dos usuários. A empresa está colaborando com parceiros para desativar os sites falsos e recomenda que os usuários relatem comunicações suspeitas. Este não é o primeiro incidente desse tipo; a LastPass já havia alertado anteriormente sobre campanhas de phishing semelhantes. A popularidade da LastPass a torna um alvo frequente para esses ataques, que frequentemente utilizam táticas de engenharia social para induzir os usuários a agir rapidamente e fornecer suas informações pessoais.
Fonte: https://www.bleepingcomputer.com/news/security/fake-lastpass-support-email-threads-try-to-steal-vault-passwords/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
04/03/2026 • Risco: ALTO
PHISHING
LastPass alerta usuários sobre campanha de phishing
RESUMO EXECUTIVO
A LastPass enfrenta uma campanha de phishing ativa que pode comprometer a segurança dos dados dos usuários. A coleta de credenciais através de páginas falsas representa um risco significativo, especialmente em um cenário onde a proteção de dados é crucial para a conformidade com a LGPD.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao comprometimento de contas e dados sensíveis.
Operacional
Coleta de credenciais de usuários do LastPass.
Setores vulneráveis
['Tecnologia da informação', 'Finanças', 'Educação']
📊 INDICADORES CHAVE
Diversos endereços de remetentes utilizados para aumentar a credibilidade.
Indicador
Múltiplas linhas de assunto para dificultar o rastreamento.
Contexto BR
Campanhas anteriores ocorreram em janeiro e no final de 2025.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há comunicações suspeitas recebidas por e-mail.
2
Alertar os usuários sobre a campanha de phishing e reforçar a importância de não compartilhar senhas.
3
Monitorar continuamente as comunicações e atividades suspeitas relacionadas ao LastPass.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança dos dados dos usuários e a reputação da empresa, já que a LastPass é uma ferramenta popular para gerenciamento de senhas.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
