تستهدف حملة تصيد احتيالي جديدة ومصممة بعناية مستخدمي LastPass، حيث يرسل المهاجمون رسائل بريد إلكتروني وهمية للدعم بهدف سرقة كلمات مرور الخزانة الرئيسية. بدأت الحملة في أوائل مارس 2026، وتعتمد على تكتيكات الهندسة الاجتماعية لخداع المستخدمين للاعتقاد بأن حساباتهم قد تم اختراقها، مما يدفعهم لتسليم بيانات اعتمادهم طواعية.
يقوم المهاجمون بإعادة توجيه سلاسل بريد إلكتروني ملفقة تبدو وكأنها تعرض قيام شخص آخر بإجراءات غير مصرح بها على حساب LastPass المستهدف. تشمل هذه الإجراءات المزيفة تصدير بيانات الخزانة، أو تشغيل استعادة كاملة للحساب، أو تسجيل جهاز موثوق به جديد. من خلال تقديم ما يبدو وكأنه خيط بريد إلكتروني داخلي مستمر، يخلق المهاجمون شعورًا فوريًا بالإلحاح، مما يدفع الضحية للنقر على الروابط المقدمة والتصرف قبل حدوث أي ضرر مزعوم.
حملة تصيد احتيالي تستهدف كلمات مرور LastPass
حدّد فريق TIME التابع لـ LastPass الحملة وأصدر تحذيرًا عامًا في 3 مارس 2026، مؤكدًا أن عملية التصيد الاحتيالي كانت نشطة. لاحظ الفريق أنه لا يوجد أي تأثير على أنظمة LastPass نفسها، ولكن الخطر الحقيقي يكمن في قيام المستخدمين بتقديم بيانات اعتمادهم طواعية على صفحات تسجيل دخول وهمية.
يعمل فريق TIME حاليًا مع شركاء خارجيين لإغلاق المواقع الخبيثة في أسرع وقت ممكن. تتضمن هذه الحملة خطوات متعددة، حيث يقوم المهاجمون بتوجيه الضحايا عبر روابط إعادة توجيه متعددة قبل إنزالهم على صفحة تسجيل دخول احتيالية موحدة (SSO) مستضافة على verify-lastpass[.]com. هذا النطاق هو نقطة الجمع المركزية لبيانات الاعتماد المسروقة.
لجعل الكشف أصعب، يقوم المهاجمون بإنشاء إصدارات معدلة قليلاً من عنوان URL عن طريق إضافة أرقام لاحقة مختلفة، مما ينتج عنه مجموعة كبيرة من الروابط الفريدة ظاهريًا التي تشير جميعها إلى نفس صفحة التصيد الاحتيالي. يساعد هذا النهج أيضًا بعض الروابط على تجاوز أدوات تصفية عناوين URL الأساسية التي تستخدمها بوابات أمان البريد الإلكتروني. يجب على كل مستخدم LastPass التعامل مع أي بريد إلكتروني غير متوقع يشير إلى نشاط الحساب بشك كبير.
تزوير اسم العرض: كيف تصمد الخديعة
العنصر الأكثر فعالية من الناحية الفنية في هذه الحملة هو استخدام تزوير اسم العرض. في هذه التقنية، يتلاعب المهاجمون فقط بالاسم المرئي المعروض في حقل المرسل للبريد الإلكتروني، بينما ينتمي عنوان الإرسال الفعلي إلى مجال غير مرتبط تمامًا. عندما يتلقى الهدف أحد هذه الرسائل، قد يرى اسمًا مثل “LastPass Support”، والذي يبدو شرعيًا تمامًا في البداية.
ومع ذلك، تأتي عناوين الإرسال الفعلية من مجالات مثل hancochem[.]at، salud5i[.]cl، remstal-praxis[.]de، و kreductionsa[.]com — لا يرتبط أي منها بـ LastPass بأي شكل من الأشكال. هذه التقنية فعالة بشكل خاص ضد مستخدمي الأجهزة المحمولة، حيث أن معظم تطبيقات البريد الإلكتروني على الأجهزة المحمولة تعرض اسم المرسل فقط افتراضيًا.
للتحقق من عنوان الإرسال الفعلي، يجب على المستخدم توسيع حقل المرسل يدويًا، وهو ما لا يفعله الكثيرون، خاصة عندما يبدو البريد الإلكتروني وكأنه قادم من مصدر موثوق. يعتمد المهاجمون على هذا السلوك عن قصد، وصياغة مراسلاتهم المزيفة لتبدو وكأنها خيط حقيقي ذهابًا وإيابًا لإضافة المزيد من المصداقية للخداع.
بمجرد أن ينقر الضحية على رابط مضمن في البريد الإلكتروني، يتم نقله إلى ما يبدو أنه صفحة تسجيل دخول موحدة شرعية من LastPass مع علامة تجارية مطابقة. في اللحظة التي يدخل فيها المستخدم كلمة المرور الرئيسية الخاصة به، يلتقطها المهاجمون ويكتسبون وصولًا كاملاً إلى كل ما تم تخزينه داخل الخزانة. يتم تقديم صفحات التصيد الاحتيالي هذه من عناوين IP بما في ذلك 172.67.200[.]82، 104.21.21[.]204، و 52.102.103[.]4. يُنصح المستخدمون بشدة بفحص عنوان المرسل الكامل دائمًا في أي بريد إلكتروني يتعلق بالأمان، وتجنب النقر على الروابط التي تدعي اكتشاف نشاط في الحساب، والتوجه مباشرة إلى موقع LastPass الرسمي عن طريق كتابة العنوان في متصفح بدلاً من ذلك.