Идёт фишинговая кампания против пользователей популярных менеджеров паролей LastPass и Bitwarden — программ, которые хранят все пароли человека под одним главным, мастер-паролем. Жертвам шлют поддельные письма, чтобы выманить доступ к этому хранилищу.
В письме пугают «обновлением политики безопасности» и подталкивают срочно что-то подтвердить. Приходят они с похожих на настоящие адресов — вроде
hello@lastpassnewsletter.com. Ссылка ведёт на поддельную страницу, замаскированную под сервис электронной подписи DocuSign, где человека просят скачать файл или ввести свои данные. Для убедительности мошенники завели сайты-двойники с адресами вроде lastpasscompliance[.]com.
Обе компании подчёркивают: их системы не взломаны, а мастер-пароль они не спрашивают никогда — ни в письмах, ни на сайте. Тем, кто всё же ввёл данные на поддельной странице, советуют срочно сменить мастер-пароль с надёжного устройства и проверить, не появилось ли в хранилище чего-то чужого.
Менеджер паролей — это связка ключей от всей цифровой жизни. Если мошенник получит мастер-пароль, он разом откроет все ваши аккаунты: почту, банк, соцсети. Поэтому такие сервисы — лакомая мишень, и письма «от них» надо читать особенно придирчиво.
Никогда не вводите мастер-пароль по ссылке из письма — открывайте менеджер паролей только через его приложение или официальный сайт, набранный вручную. Не доверяйте письмам, которые торопят и пугают. Включите двухфакторную защиту. А если уже ввели пароль на подозрительной странице — немедленно смените его с другого, надёжного устройства.
Источник: BleepingComputer, 14 июля 2026 года.