Allarme LastPass: campagna di phishing sfrutta l'emergency access e ruba passkey

Un nuovo allarme scuote la comunità digitale: una campagna di attacchi informatici estremamente sofisticata sta prendendo di mira gli utenti di LastPass, uno dei gestori di password più diffusi al mondo. Dietro questa offensiva si cela il gruppo criminale CryptoChameleon, già noto per la sua abilità nell’orchestrare campagne di phishing e truffe ad alto impatto. Questa volta, il bersaglio sono le credenziali custodite nei password vault e, sorprendentemente, anche le più moderne passkey, che fino a ieri erano considerate tra i sistemi di autenticazione più sicuri disponibili.

L’attacco si distingue per la sua ingegnosità e per la capacità di sfruttare la fiducia degli utenti. Gli hacker utilizzano email dall’aspetto autentico che imitano le notifiche ufficiali di emergency access, ovvero la funzione che consente a un familiare o a una persona fidata di accedere al proprio account in caso di emergenza, come la presunta morte dell’utente. Il messaggio, carico di urgenza emotiva, invita la vittima a cliccare su un link che rimanda a una pagina web costruita ad arte per replicare l’interfaccia di LastPass.

Il livello di sofisticazione di questa campagna non si ferma qui. I criminali hanno registrato domini come mypasskey.info e passkeysetup.com, curando ogni dettaglio per rendere la truffa ancora più credibile. Questi siti web falsi non solo imitano alla perfezione la grafica della piattaforma originale, ma sono anche progettati per intercettare le credenziali delle vittime e compromettere le procedure di autenticazione basate su FIDO2/WebAuthn, strumenti che dovrebbero rappresentare il massimo standard di sicurezza per la protezione degli account.

In alcuni casi, la truffa si è spinta oltre la dimensione digitale: le vittime hanno ricevuto vere e proprie chiamate telefoniche da operatori che si spacciavano per il supporto clienti di LastPass. Con un linguaggio persuasivo e dettagliate informazioni personali, gli attaccanti sono riusciti a convincere gli utenti a fornire dati sensibili, dimostrando come la ingegneria sociale sia oggi uno degli strumenti più potenti nelle mani dei cybercriminali.

Il gruppo CryptoChameleon si conferma, così, come uno degli attori più pericolosi nel panorama delle minacce informatiche. Già in passato aveva colpito con successo portafogli di criptovalute e piattaforme di exchange, utilizzando kit di phishing capaci di replicare servizi come Okta, Gmail e altri provider di autenticazione. La capacità di adattarsi rapidamente alle nuove tecnologie e di sfruttare le vulnerabilità umane rende questi attacchi particolarmente insidiosi.

In questo scenario, le raccomandazioni degli esperti di sicurezza sono chiare e non devono essere sottovalutate. Prima di tutto, è fondamentale diffidare di qualsiasi comunicazione non richiesta che riguardi l’emergency access o la gestione delle proprie credenziali. Verificare sempre con attenzione l’autenticità dei link ricevuti e digitare manualmente l’indirizzo del sito ufficiale rappresenta una delle prime difese contro i tentativi di truffa. L’attivazione della multifactor authentication è un ulteriore baluardo che può limitare i danni anche in caso di compromissione della password principale.

LastPass ha ribadito pubblicamente che non richiederà mai la master password attraverso canali diversi dalla propria piattaforma ufficiale e non effettuerà mai richieste telefoniche in merito all’accesso d’emergenza. Chiunque sospetti di essere stato vittima di un attacco deve agire tempestivamente: cambiare la master password, revocare tutte le sessioni attive e abilitare le notifiche di sicurezza sono passaggi imprescindibili per limitare i danni e recuperare il controllo del proprio account.

Le organizzazioni, dal canto loro, devono investire nella formazione anti-phishing e definire policy rigorose per la gestione delle richieste di emergency access. Solo un approccio strutturato e multilivello può garantire una protezione efficace contro minacce che evolvono costantemente sia sul piano tecnologico che su quello psicologico.

Infine, è importante sottolineare che, nonostante l’adozione delle passkey rappresenti un progresso significativo nella sicurezza digitale, nessun sistema può dirsi completamente immune ai rischi dell’ingegneria sociale. La difesa più efficace resta la combinazione di tecnologie avanzate, processi chiari, formazione continua degli utenti e controlli operativi rigorosi. Solo così si può costruire una vera resilienza contro le nuove frontiere della criminalità informatica.