Een nieuwe phishingcampagne bestookt gebruikers van de wachtwoordmanagers LastPass en Bitwarden met valse beveiligingsmails die via nagemaakte DocuSign-pagina's op lookalike-domeinen het hoofdwachtwoord proberen te ontfutselen, melden BleepingComputer en beveiligingssite CyberInsider.
De inzet is voor een bedrijf groter dan voor een losse gebruiker. Een hoofdwachtwoord opent de hele kluis, en in veel organisaties deelt het team via die kluis de wachtwoorden van boekhouding, webshop, mail en cloud. Eén medewerker die op een nagemaakte pagina zijn hoofdwachtwoord intikt, geeft daarmee in één klap toegang tot alle bedrijfsaccounts die erachter zitten.
Hoe de nepmails werken
De mails komen binnen vanaf adressen als hello@lastpassnewsletter[.]com en hello@bitwardennewsletter[.]com, met onderwerpregels die aandringen op actie, zoals 'Action Required: Review Updated LastPass Security Policies'. Ze schermen met een bijgewerkt beveiligingsbeleid, extra monitoring of een resetoptie voor beheerders. Wie op de knop 'Review & Access Terms' klikt, belandt op een nagemaakte DocuSign-pagina op domeinen als lastpasscompliance[.]com en bitwardencompliance[.]com.
Die nepsites bootsen de documentomgeving van DocuSign na en vragen bezoekers een bestand te downloaden voor Windows of macOS. Er is zelfs een live-chatfunctie ingebouwd om betrouwbaar over te komen. Microsoft Defender for Office 365 en Cloudflare hebben de domeinen inmiddels als kwaadaardig bestempeld.

LastPass bevestigt: geen inbraak in eigen systemen
LastPass bevestigt dat zijn eigen systemen niet zijn gecompromitteerd en dat de mails niet van zijn infrastructuur komen. Het bedrijf benadrukt dat het je nooit per e-mail om je hoofdwachtwoord zal vragen en roept op verdachte berichten te melden bij abuse@lastpass.com.
Belangrijk voor de context: dit is een op zichzelf staande campagne, los van de eerdere phishinggolven in januari en maart 2026 en ook los van het incident waarbij LastPass klantgegevens verloor via een supply-chain-aanval op leverancier Klue. Daar lag een echt datalek bij een toeleverancier aan ten grondslag. Hier gaat het puur om oplichting die de merknaam misbruikt, zonder inbraak bij LastPass zelf.
De verdediging zit bij je mensen, niet je software
De kern van deze aanval is niet technisch, maar psychologisch: hij leunt op het vertrouwen dat mensen in hun wachtwoordmanager stellen. Juist de tool die je installeerde om veiliger te werken, wordt het lokaas. Dat maakt de tegenzet ook een kwestie van mensen. Laat je team weten dat een beveiligingsmail van hun wachtwoordmanager nep kan zijn, en dat LastPass en Bitwarden nooit per e-mail om het hoofdwachtwoord vragen.
Twee vuistregels houden de meeste van deze mails tegen. Controleer het domein voordat je iets invult, want een echte melding komt nooit van lastpassnewsletter[.]com of een variant met 'compliance' erin. En typ je hoofdwachtwoord alleen in op de site die je zelf in je browser opent, nooit via een link in een mail. Wie tóch iets heeft ingevoerd, verandert het hoofdwachtwoord direct vanaf een vertrouwd apparaat via lastpass.com.
De campagne past in een patroon dat dit jaar steeds terugkeert: phishing herken je niet meer aan taalfouten of slordige opmaak, en de verdediging begint bij je proces, niet bij je software. Nu de nagemaakte pagina's zo overtuigend zijn dat ze een live-chat en de DocuSign-huisstijl meebrengen, verschuift de weerbaarheid van het herkennen van een 'foute' mail naar een vaste gewoonte: nooit inloggen via een link, altijd via het adres dat je zelf intikt.
Veelgestelde vragen
Weerbaar tegen phishing
Phishing tegenhouden is geen kwestie van één tool, maar van processen en systemen die verdacht gedrag opvangen voordat een medewerker erin trapt. Ik denk mee, ontwerp en bouw die beveiligde workflows end-to-end, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
