Os utilizadores do popular gestor de palavras-passe estão a ser alvo de uma nova vaga de ataques cibernéticos. Uma campanha sofisticada está a atingir as caixas de correio eletrónico de milhares de clientes, utilizando a engenharia social para contornar as defesas habituais e roubar credenciais de acesso críticas.
De acordo com o alerta de segurança emitido pela LastPass, os atacantes estão a fazer-se passar pela equipa de suporte do serviço, enviando notificações fraudulentas sobre uma suposta "manutenção de infraestrutura". O objetivo é criar um falso sentido de urgência, levando as vítimas a agir sem pensar.
A armadilha do backup obrigatório
A estratégia dos criminosos passa por convencer o utilizador de que existe uma janela de tempo limitada — geralmente 24 horas — para realizar uma cópia de segurança dos seus dados antes de uma atualização do sistema. Os emails, desenhados para parecerem comunicações oficiais, contêm links maliciosos que redirecionam para sites falsos.
Nestes portais fraudulentos, os utilizadores são convidados a introduzir as suas credenciais para "gerar o backup encriptado". No entanto, o verdadeiro intuito é capturar a password mestra, o que daria aos atacantes acesso total ao cofre digital da vítima e a todas as contas lá guardadas. A empresa esclarece inequivocamente que não está a solicitar qualquer ação deste género e que os dados dos clientes permanecem seguros nos seus servidores.
Histórico de ameaças e sinais de alerta
A equipa de inteligência da empresa detetou que esta campanha teve início por volta de 19 de janeiro, aproveitando o fim de semana para apanhar os utilizadores mais desprevenidos. Os emails provêm de endereços suspeitos, como "support@lastpass[.]xxxxxxx", e utilizam assuntos alarmistas como "Proteja o seu Cofre Agora" ou "Aviso de Manutenção".
Este incidente surge na sequência de outros ataques direcionados à plataforma. Em outubro de 2025, foram registadas campanhas de phishing que utilizavam temas mórbidos, como falsos processos de herança digital ou alertas de violação de dados, para enganar as vítimas.
A recomendação oficial mantém-se: a LastPass nunca solicita a palavra-passe mestra aos seus utilizadores. Qualquer comunicação que exija este dado ou imponha prazos curtos sob ameaça de perda de dados deve ser tratada como um ataque e reportada imediatamente.
Nenhum comentário
Seja o primeiro!