Fałszywy e-mail LastPass Support jak rozpoznać phishing i co zrobić po kliknięciu

2026-03-05

TL;DR

Trwa phishing podszywający się pod LastPass Support, który ma skłonić Cię do kliknięcia w link i podania master password. W praktyce wystarczy jeden błąd, żeby ktoś przejął sejf haseł. Zasada minimum jest prosta: nie loguj się do menedżera haseł z linku w mailu, tylko przez aplikację albo zapisany adres.

O co chodzi w tej kampanii i dlaczego to jest groźne

Phishing to atak, w którym ktoś podszywa się pod zaufaną firmę lub osobę po to, żeby wyłudzić dane albo skłonić Cię do niebezpiecznej akcji. Jeśli chcesz szybko uporządkować podstawy, zobacz materiał: czym jest phishing.

W tej konkretnej kampanii atakujący udają wsparcie LastPass i rozsyłają wiadomości wyglądające jak przekazane dalej wątki o rzekomo podejrzanej aktywności na koncie. Szczegóły i przykłady mechanizmu opisał LastPass w swoim komunikacie: komunikat LastPass o kampanii phishingowej.

To nie jest zwykły fałszywy mail z literówkami. Całość jest zrobiona tak, żeby zbudować wiarygodność i presję czasu, a potem przekierować Cię na podstawioną stronę logowania. Kampanię opisały też media branżowe, co pomaga w porównaniu wariantów i motywów wiadomości: opis kampanii w GBHackers.

Podszycie pod LastPass Support i fałszywe wątki mailowe

Wiadomość często wygląda jak część rozmowy z działem wsparcia, a nie jak klasyczny spam. Może sugerować, że ktoś próbował wykonać nieautoryzowaną akcję, na przykład eksport sejfu, odzyskanie konta lub dodanie nowego zaufanego urządzenia. Twoja naturalna reakcja jest wtedy jedna: kliknąć i natychmiast to zatrzymać.

Dlaczego to działa szczególnie na telefonie

Na telefonie wiele aplikacji pocztowych pokazuje głównie nazwę nadawcy, a nie pełny adres. Jeśli ktoś podszyje nazwę, możesz nie zauważyć, że faktyczny adres pochodzi z obcej domeny. Podobny efekt psychologiczny działa też w smishingu, gdzie mały ekran i szybkie klikanie robią swoje, zobacz przykład: jak wygląda phishing, który żeruje na presji i szybkim kliknięciu.

Jak działa atak krok po kroku

Mail udaje alert o podejrzanej aktywności

Najpierw dostajesz mail, który ma wyglądać jak automatyczny komunikat bezpieczeństwa albo przekazany dalej wątek wsparcia. Treść jest ustawiona tak, żebyś miał poczucie, że sprawa dzieje się teraz i że musisz zareagować od razu.

Link prowadzi do fałszywej weryfikacji konta

W wiadomości pojawia się przycisk lub link sugerujący weryfikację, zabezpieczenie konta albo cofnięcie podejrzanej operacji. Kliknięcie przenosi na stronę podszywającą się pod logowanie, często na domenie, która ma wyglądać wiarygodnie. Przykładowo w komunikatach o tej kampanii pojawia się domena typu verify-lastpass.com, ale w praktyce wariantów może być więcej.

Celem jest wyłudzenie master password i przejęcie sejfu

Najważniejsze: jeśli wpiszesz master password na podstawionej stronie, oddajesz klucz do całego sejfu. Nawet jeśli później zmienisz hasło, atakujący mógł już wyeksportować przechowywane loginy, hasła, notatki i inne dane. To dlatego ten scenariusz jest dużo poważniejszy niż pojedyncza próba wyłudzenia hasła do jednego serwisu.

Sygnały ostrzegawcze, które najłatwiej przeoczyć

Nazwa nadawcy to nie adres e-mail

To, że widzisz LastPass Support w polu nadawcy, nie znaczy jeszcze nic. Zawsze rozwiń szczegóły i sprawdź pełny adres. Jeśli domena nie jest domeną firmy, traktuj to jako próbę oszustwa, nawet jeśli mail wygląda profesjonalnie.

Podejrzane domeny typu verify-lastpass

Nie oceniaj linku po samym początku. Patrz na domenę, a nie na to, co jest przed domeną i co wygląda jak znana nazwa. Na telefonie zrób dłuższe przytrzymanie, podejrzyj adres i dopiero wtedy podejmuj decyzję.

Presja czasu, straszenie, prośba o weryfikację

Jeśli mail wymusza natychmiastową reakcję i prowadzi do logowania albo potwierdzenia, zatrzymaj się. To jest dokładnie moment, w którym atak działa najlepiej, bo liczy na automatyczne kliknięcie, a nie na weryfikację.

Co zrobić jako odbiorca

Gdy dostajesz taką wiadomość

Najbezpieczniejszy nawyk to zawsze ten sam scenariusz: nie klikasz w link z maila, tylko wchodzisz do usługi normalną drogą, przez aplikację lub zapisany adres. Jeśli po wejściu widzisz realne powiadomienie w panelu usługi, wtedy działasz dalej. Jeśli nie widzisz nic, mail najpewniej był przynętą.

Jeżeli w firmie jest wyznaczona osoba od IT lub bezpieczeństwa, przekaż jej wiadomość jako podejrzenie phishingu. Jeśli nie ma, zgłoś temat przełożonemu albo osobie, która administruje pocztą i kontami.

Gdy kliknąłeś link, ale nic nie wpisałeś

Jeśli tylko otworzyłeś stronę, ryzyko jest zwykle mniejsze, ale nadal nie ignoruj sytuacji. Zamknij kartę, nie loguj się i zgłoś podejrzenie w firmie. Dodatkowo usuń podejrzane pobrania, sprawdź, czy przeglądarka nie zapisała autouzupełniania, i uruchom skan antymalware, jeśli masz do niego dostęp.

Gdy wpisałeś dane na stronie

Traktuj to jak potencjalne przejęcie konta. Działaj szybko, ale metodycznie: zmień master password w LastPass, wyloguj aktywne sesje, włącz MFA, a potem zacznij rotację najważniejszych haseł, zaczynając od poczty, bankowości, paneli administracyjnych i narzędzi firmowych. Jeśli w sejfie były hasła służbowe, poinformuj firmę natychmiast, bo może to dotyczyć większej liczby systemów.

Dlaczego cykliczne szkolenia i testy odporności naprawdę działają

Phishing nie wygrywa dlatego, że ludzie są niekompetentni. Wygrywa, bo jest projektowany pod odruchy: presję czasu, mały ekran, multitasking i zmęczenie decyzyjne. Jednorazowe szkolenie pomaga na chwilę, ale nawyki znikają, gdy wraca codzienny pośpiech.

To dlatego najlepsze efekty daje cykl: krótkie przypomnienia, proste zasady i regularne testy odporności, które uczą jednej rzeczy: zatrzymaj się przed kliknięciem. Dobrze ustawiony program nie polega na zawstydzaniu, tylko na ćwiczeniu scenariuszy, które realnie przychodzą na skrzynkę. W praktyce wystarczy, że pracownik po kilku takich powtórkach automatycznie rozwinie szczegóły nadawcy, sprawdzi domenę linku i przypomni sobie zasadę: do krytycznych usług wchodzimy z aplikacji albo z zakładki, nie z maila.

Jeśli w organizacji nie ma formalnego działu bezpieczeństwa, taki rytm jest tym bardziej ważny, bo redukuje ryzyko tam, gdzie nie ma rozbudowanych narzędzi ochronnych. A w przypadku menedżerów haseł stawka jest wysoka, bo jeden wyciek master password może stać się wejściem do wielu usług naraz.