Heb je een doodscertificaat binnengekregen in de mailbox van LastPass? Die open je best niet.
Wachtwoordmanager LastPass heeft te kampen met een bizarre phishingaanval: gebruikers krijgen hun eigen doodscertificaat toegestuurd in hun mailbox. Een familielid zou het certificaat online hebben gezet, en ze dreigen daarom toegang tot hun account te verliezen. Dat is op z’n minst gezegd een verrassende mail als je nog leeft.
Wat gebeurt er?
Gebruikers krijgen mails van ‘alerts@lastpass.com’ waarin staat dat iemand hun doodscertificaat heeft geüpload, en ze moeten inloggen om het te bekijken en het als nep te markeren. De bedoeling van de hackers is om mensen zo net lang genoeg van de kaart te brengen dat ze op een kwaadaardige link in de mail klikken. Dan hebben ze toegang tot elk wachtwoord dat in de wachtwoordmanager van LastPass zit opgeslagen.
Volgens een blogpost van LastPass worden sommige slachtoffers zelfs opgebeld om hen in het proces te begeleiden. Dat werkt zo goed omdat LastPass ook effectief een
Al even actief
Google Threat Intelligence weet dat deze campagne opgezet is door hackersgroup CryptoChameleon (of UNC5356). Zoals de naam doet vermoeden, richten ze zich meestal op het stelen van cryptomunten. De phishingcampagne is al actief sinds midden oktober 2025.