Фішингові листи LastPass і Bitwarden: перевірте відправника

Фальшиві листи LastPass і Bitwarden ведуть на lookalike compliance-домени та пропонують завантажити файл. Як перевірити відправника й захистити сховище.

Сховище паролів отримує фальшивий лист безпеки, за яким ховається фішинговий гачок

LastPass попередила користувачів про активну фішингову кампанію з підробленими листами про політики безпеки. Повідомлення надходять із lookalike newsletter- і compliance-доменів. Паралельна приманка націлена на користувачів Bitwarden. Лист веде на фальшиву сторінку DocuSign і схиляє завантажити файл. LastPass наголошує, що її системи не були скомпрометовані.

Якщо ви отримали такий лист, не натискайте кнопку й нічого не завантажуйте. Перевірте повну адресу відправника та відкрийте менеджер паролів через збережений застосунок або відомий сайт.

Ілюстративний лист про політику безпеки менеджера паролів із кнопкою завантаження
Ілюстративний приклад: термінова тема й кнопка завантаження поєднані з lookalike-адресою.

Як працює фальшивий лист про політику безпеки

Варіант LastPass надходив від hello@lastpassnewsletter[.]com із темою Action Required: Review Updated LastPass Security Policies. Використовувалися домени lastpassnewsletter[.]com і lastpasscompliance[.]com, які не належать LastPass. У варіанті для Bitwarden фігурували hello@bitwardennewsletter[.]com і bitwardencompliance[.]com.

  1. Терміновість: лист вимагає негайно переглянути правила безпеки або compliance.
  2. Підміна бренду: кнопка веде на тематичну сторінку, а далі — на фальшивий DocuSign.
  3. Тиск на завантаження: сторінка стверджує, що для документа потрібен desktop-застосунок.
  4. Ризик викрадення даних або malware: файл із такого ланцюжка є недовіреним. Master password, введений після переходу з листа, слід вважати розкритим.
Фальшива сторінка завантаження DocuSign на lookalike-домені lastpasscompliance
Кампанія LastPass перенаправляла користувачів на фальшиву DocuSign-сторінку lookalike-домену. Джерело: LastPass.

Як відрізнити справжній лист від підробки

ПеревіркаЩо має збігатися
Домен відправникаЛисти LastPass мають надходити з офіційного домену LastPass. Bitwarden вказує адреси no-reply@bitwarden.com або no-reply@bitwarden.eu. Знайоме ім’я відправника не легітимізує сторонній домен.
Адреса переходуНе довіряйте напису на кнопці. Перегляньте справжній host або взагалі не використовуйте посилання з листа.
Master passwordМенеджер паролів не повинен автоматично підставляти master password на lookalike-домені. Не вводьте його на сторінці з неочікуваного листа.
ЗавантаженняОновлення політики не повинно вимагати невідомий «DocuSign desktop application».

Ім’я відправника, значок замка та скопійована графіка — слабкі сигнали. Повний домен, autofill менеджера паролів і спосіб, яким ви відкрили сторінку, важливіші. Схожі способи підміни входу описані в матеріалі про фішинг Microsoft кодом пристрою.

Що робити після кліку, введення пароля або запуску файла

  1. Лише відкрили сторінку: закрийте її, не дозволяйте notifications і скасуйте завантаження. Сам перехід ще не доводить злам сховища.
  2. Ввели master password: із надійного пристрою відкрийте офіційний застосунок або відомий сайт, змініть master password, завершіть інші сесії, перевірте MFA та активність, а потім змініть найцінніші паролі зі сховища.
  3. Завантажили, але не запускали: не відкривайте файл. Зафіксуйте його назву для report, видаліть і виконайте перевірку безпеки.
  4. Запустили файл: від’єднайте ПК від мережі, виконайте повне сканування, видаліть detections, перезавантажте систему та проскануйте ще раз. Паролі змінюйте лише з чистого пристрою. Подібний ризик пояснено в матеріалі про фейкові завантаження та RAT.
  5. Повідомте про приманку: LastPass просить надсилати відомості на [email protected]. Для Bitwarden використовуйте support, відкритий з офіційного сайту.
Перевірте ПК, якщо фальшивий policy-файл запускався

Malware-завантаження може залишити процеси, persistence або інші компоненти. Видаліть detections, перезавантажте ПК і проскануйте повторно.

Сканувати після запуску файла

Індикатори для блокування та пошуку

ІндикаторРоль у кампанії
hello@lastpassnewsletter[.]comВідправник LastPass-тематичного листа.
lastpassnewsletter[.]comLookalike mail-домен.
lastpasscompliance[.]comФальшива compliance- і DocuSign-сторінка.
hello@bitwardennewsletter[.]comВідправник паралельної Bitwarden-приманки.
bitwardencompliance[.]comLookalike compliance-домен.

Ці індикатори стосуються конкретної кампанії та не означають злам інфраструктури LastPass або Bitwarden. На момент публікації LastPass випустила окреме попередження, а офіційна довідка Bitwarden дала еталон легітимних адрес для порівняння.

Джерела

  1. LastPass. “LastPass alerts customers to active phishing campaign using lookalike domains; no impact to LastPass systems.” 13 липня 2026 року, дата доступу 14 липня 2026 року. Попередження LastPass.
  2. Bitwarden. “Emails from Bitwarden.” Дата доступу 14 липня 2026 року. Офіційна довідка про відправників.
  3. BleepingComputer. “LastPass, Bitwarden users targeted with fake security alerts.” 14 липня 2026 року, дата доступу 14 липня 2026 року. Підтвердження кампанії.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.