Nach Angaben des unternehmenseigenen Teams LastPass Threat Intelligence, Mitigation, and Escalation (TIME) nutzen die Angreifer neben der zentralen Domain “verify-lastpass[.]com” auch leicht abgewandelte URLs, die alle auf dieselbe Phishing-Seite umleiten.

Um die Glaubwürdigkeit zu erhöhen und die Rückverfolgung zu erschweren, setzt die Kampagne auf eine Vielzahl unterschiedlicher Absenderadressen und Betreffzeilen. Die meisten Absenderadressen haben mit der Marke LastPass nichts zu tun und stammen laut dem Unternehmen von kompromittierten Websites oder verwaisten Domains. Um diesen Umstand zu verschleiern, verwenden die Angreifer den Anzeigenamen “LastPass Support”.

LastPass stellt klar, dass die eigene Infrastruktur nicht angegriffen wurde und die Systeme nicht betroffen sind. Das Unternehmen erinnert seine Kunden zudem daran, dass Support-Mitarbeiter niemals nach dem Master-Passwort fragen und dieses niemandem mitgeteilt werden sollte.

Nach eigenen Angaben arbeitet LastPass mit externen Partnern zusammen, um die gefälschten Websites möglichst rasch abschalten zu lassen. Nutzer, die verdächtige Nachrichten erhalten, werden gebeten, diese an “abuse@lastpass.com” zu melden.

Aufgrund seiner Verbreitung ist der Dienst ein häufiges Ziel von Phishing-Kampagnen. Bereits im Januar dieses Jahres warnte LastPass vor einer Kampagne mit gefälschten Wartungsbenachrichtigungen, die Nutzer aufforderten, ihre Tresore innerhalb von 24 Stunden zu sichern, und sie auf Phishing-Seiten umleiteten.

Ende 2025 gab es zwei weitere Kampagnen gegen LastPass-Nutzer: Eine arbeitete mit gefälschten Meldungen über den Tod von Nutzern, die andere behauptete, das Unternehmen sei gehackt worden, und drängte zum Download einer neuen Version der Client-App.