LastPass, Bitwarden

LastPass und Bitwarden: Massive Phishing-Welle auf Master-Passwörter

Veröffentlicht: 17.07.2026 um 14:08 Uhr, Redaktion boerse-global.de

Kriminelle greifen mit gefälschten Compliance-Mails gezielt Master-Passwörter von LastPass und Bitwarden ab.

Phishing-Welle gegen LastPass und Bitwarden: So schĂĽtzen Sie sich
Verschattete Gestalt in dunklem Hoodie tippt auf Laptop, umgeben von digitalen Schlosssymbolen und Code. Illustration mit AI erstellt ĂĽbermittelt durch boerse-global.de

Eine aktuelle Phishing-Kampagne zielt auf die Dienste LastPass und Bitwarden ab – und setzt dabei auf eine perfide Masche.

Seit Mitte Juli 2026 verschärft sich die Bedrohungslage für Nutzer von Passwort-Managern. Sicherheitsforscher haben eine koordinierte Angriffswelle identifiziert, die mit täuschend echten „Compliance"-Mails arbeitet. Das Ziel: die wertvollsten digitalen Schlüssel der Opfer – ihre Master-Passwörter.

Gefälschte Domains und DocuSign-Falle

Die Angreifer versenden E-Mails von Domains wie lastpassnewsletter.com und bitwardennewsletter.com. Eine dieser Adressen wurde bereits am 13. Juli 2026 registriert. Die Nachrichten fordern die Empfänger auf, angeblich notwendige Compliance-Schritte zu absolvieren.

Wer dem Aufruf folgt, landet auf betrügerischen Webseiten wie lastpasscompliance.com oder bitwardencompliance.com. Diese Seiten imitieren die Optik des elektronischen Signaturdienstes DocuSign – ein Trick, der die Illusion von Seriosität verstärkt. Gibt ein Nutzer dort sein Master-Passwort ein, haben die Angreifer freie Bahn: Sie können den gesamten verschlüsselten Passwort-Tresor einsehen und missbrauchen.

Die Sicherheitsexperten von Microsoft Defender und Cloudflare haben die beteiligten Dateien und Domains als schädlich eingestuft.

Reaktionen der betroffenen Dienste

Anzeige

Allein in Deutschland werden pro Quartal Millionen Online-Konten gehackt, oft weil klassische Passwörter trotz Passwort-Manager leichtes Spiel für Phishing bieten. Dieser kostenlose Report zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp & Co. endlich unknackbar machen. Sicher, bequem und passwortlos: Jetzt Gratis-Report sichern

Das LastPass TIME Team bestätigte die Kampagne bereits am 13. Juli. Der Anbieter warnt seine Nutzer eindringlich: Niemals Zugangsdaten auf Seiten eingeben, die über solche „Newsletter"- oder „Compliance"-Mails verlinkt wurden. Wer bereits hereingefallen ist, sollte sofort das Master-Passwort ändern und die Tresor-Aktivitäten auf unbefugte Zugriffe prüfen.

Parallel rüsten andere Branchenakteure auf. 1Password führte Anfang der Woche eine Anti-Phishing-Funktion in der Browser-Erweiterung Version 8.12.0-14 ein. Die Funktion warnt automatisch, wenn ein Nutzer ein Passwort in eine Webseite einfügt, die nicht zum gespeicherten Eintrag im Tresor gehört.

Der Schritt kommt nicht von ungefähr: Umfragedaten zeigen, dass zwar 89 Prozent der Amerikaner bereits mit Phishing in Kontakt kamen – aber erschreckende 61 Prozent auch schon einmal darauf hereingefallen sind.

Der größere Trend: Browser im Visier

Die Angriffe auf Passwort-Manager sind Teil einer besorgniserregenden Entwicklung. Immer mehr Schadsoftware zielt direkt auf Browser und lokale Speicher ab.

Anzeige

Phishing-Angriffe wie die aktuellen Kampagnen auf Passwort-Dienste zeigen, wie wichtig ein fundiertes Sicherheits-Wissen ist, um psychologische Manipulationstaktiken rechtzeitig zu entlarven. In diesem kostenlosen Paket erfahren Sie in 4 Schritten, wie Sie sich und Ihr Umfeld effektiv vor Hackern und Datendiebstahl schĂĽtzen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Erst kürzlich identifizierten Analysten das OkoBot-Framework, das seit Januar 2026 aktiv ist. Diese Malware schleust Phishing-Oberflächen in legitime Anwendungen ein, um Seed-Phrasen und Zugangsdaten zu stehlen – speziell im Visier: Nutzer von Hardware-Wallets.

Auch macOS-Nutzer sind betroffen. Eine neu entdeckte Schadsoftware greift auf Safari-Cookies, Apple Notes und die macOS-Keychain zu. Sie nutzt einen gefälschten AppleScript-Dialog, um System-Passwörter abzugreifen, und entschlüsselt anschließend die im Browser gespeicherten Zugangsdaten.

Die Branchendaten für 2025 sprechen eine deutliche Sprache: 82 Prozent aller Cybersicherheits-Vorfälle kamen ohne klassische Malware aus – ein drastischer Anstieg von 51 Prozent im Jahr 2020. Angreifer setzen zunehmend auf browserbasierte Bedrohungen, Session-Hijacking und die Ausnutzung vertrauenswürdiger Domains.

Was Nutzer jetzt tun sollten

Sicherheitsexperten empfehlen, die Zwei-Faktor-Authentifizierung für alle wichtigen Dienste zu aktivieren. Sicherheitsmeldungen sollten stets über die offizielle App oder Desktop-Anwendung des jeweiligen Dienstes geprüft werden – niemals über Links in unaufgeforderten E-Mails.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69787185 |