Een persoon in een zwarte hoodie werkt in het donker op een laptop.
Nieuws14 juli · 18:114 min leestijd

Phishingcampagne misbruikt LastPass en Bitwarden om hoofdwachtwoorden te stelen

Een nieuwe phishingcampagne misbruikt LastPass en Bitwarden met valse beveiligingsmails en nagemaakte DocuSign-pagina's om hoofdwachtwoorden te stelen. LastPass bevestigt dat het niet is gehackt. De belangrijkste tegenzet is je personeel waarschuwen.

Een nieuwe phishingcampagne bestookt gebruikers van de wachtwoordmanagers LastPass en Bitwarden met valse beveiligingsmails die via nagemaakte DocuSign-pagina's op lookalike-domeinen het hoofdwachtwoord proberen te ontfutselen, melden BleepingComputer en beveiligingssite CyberInsider.

De inzet is voor een bedrijf groter dan voor een losse gebruiker. Een hoofdwachtwoord opent de hele kluis, en in veel organisaties deelt het team via die kluis de wachtwoorden van boekhouding, webshop, mail en cloud. Eén medewerker die op een nagemaakte pagina zijn hoofdwachtwoord intikt, geeft daarmee in één klap toegang tot alle bedrijfsaccounts die erachter zitten.

Hoe de nepmails werken

De mails komen binnen vanaf adressen als hello@lastpassnewsletter[.]com en hello@bitwardennewsletter[.]com, met onderwerpregels die aandringen op actie, zoals 'Action Required: Review Updated LastPass Security Policies'. Ze schermen met een bijgewerkt beveiligingsbeleid, extra monitoring of een resetoptie voor beheerders. Wie op de knop 'Review & Access Terms' klikt, belandt op een nagemaakte DocuSign-pagina op domeinen als lastpasscompliance[.]com en bitwardencompliance[.]com.

Die nepsites bootsen de documentomgeving van DocuSign na en vragen bezoekers een bestand te downloaden voor Windows of macOS. Er is zelfs een live-chatfunctie ingebouwd om betrouwbaar over te komen. Microsoft Defender for Office 365 en Cloudflare hebben de domeinen inmiddels als kwaadaardig bestempeld.

Het officiële LastPass-logo, het merk dat de nepmails nabootsen. (Bron: LastPass via Wikimedia Commons, publiek domein)
Het officiële LastPass-logo, het merk dat de nepmails nabootsen. (Bron: LastPass via Wikimedia Commons, publiek domein)

LastPass bevestigt: geen inbraak in eigen systemen

LastPass bevestigt dat zijn eigen systemen niet zijn gecompromitteerd en dat de mails niet van zijn infrastructuur komen. Het bedrijf benadrukt dat het je nooit per e-mail om je hoofdwachtwoord zal vragen en roept op verdachte berichten te melden bij abuse@lastpass.com.

Belangrijk voor de context: dit is een op zichzelf staande campagne, los van de eerdere phishinggolven in januari en maart 2026 en ook los van het incident waarbij LastPass klantgegevens verloor via een supply-chain-aanval op leverancier Klue. Daar lag een echt datalek bij een toeleverancier aan ten grondslag. Hier gaat het puur om oplichting die de merknaam misbruikt, zonder inbraak bij LastPass zelf.

De verdediging zit bij je mensen, niet je software

De kern van deze aanval is niet technisch, maar psychologisch: hij leunt op het vertrouwen dat mensen in hun wachtwoordmanager stellen. Juist de tool die je installeerde om veiliger te werken, wordt het lokaas. Dat maakt de tegenzet ook een kwestie van mensen. Laat je team weten dat een beveiligingsmail van hun wachtwoordmanager nep kan zijn, en dat LastPass en Bitwarden nooit per e-mail om het hoofdwachtwoord vragen.

Twee vuistregels houden de meeste van deze mails tegen. Controleer het domein voordat je iets invult, want een echte melding komt nooit van lastpassnewsletter[.]com of een variant met 'compliance' erin. En typ je hoofdwachtwoord alleen in op de site die je zelf in je browser opent, nooit via een link in een mail. Wie tóch iets heeft ingevoerd, verandert het hoofdwachtwoord direct vanaf een vertrouwd apparaat via lastpass.com.

De campagne past in een patroon dat dit jaar steeds terugkeert: phishing herken je niet meer aan taalfouten of slordige opmaak, en de verdediging begint bij je proces, niet bij je software. Nu de nagemaakte pagina's zo overtuigend zijn dat ze een live-chat en de DocuSign-huisstijl meebrengen, verschuift de weerbaarheid van het herkennen van een 'foute' mail naar een vaste gewoonte: nooit inloggen via een link, altijd via het adres dat je zelf intikt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Weerbaar tegen phishing

Phishing tegenhouden is geen kwestie van één tool, maar van processen en systemen die verdacht gedrag opvangen voordat een medewerker erin trapt. Ik denk mee, ontwerp en bouw die beveiligde workflows end-to-end, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

ShinyHunters steelt Salesforce-data via vishing en frauduleuze OAuth-apps
Nieuws
4 min

14 jul 02:09

ShinyHunters steelt Salesforce-data via vishing en frauduleuze OAuth-apps

ShinyHunters kaapt Salesforce-data door medewerkers telefonisch een frauduleuze OAuth-app te laten goedkeuren, meldt Microsoft. De aanval omzeilt wachtwoorden en MFA volledig, want het slachtoffer geeft de toegang zelf. Elk bedrijf op SaaS moet nu zijn app-toestemmingen controleren.

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt
Nieuws
6 min

30 jun 00:47

ShinyHunters misbruikt Oracle PeopleSoft-lek bij Nissan: salaris- en sofinummers van werknemers buitgemaakt

Nissan meldt een datalek nadat aanvallers een kritiek lek in Oracle PeopleSoft misbruikten. De afpersgroep ShinyHunters trof zo'n 300 systemen bij meer dan honderd organisaties. Nederlandse bedrijven met PeopleSoft moeten direct patchen.

Tweede hackersgroep eist losgeld na Klue-datalek: double extortion treft LastPass-klanten
Nieuws
5 min

25 jun 20:45

Tweede hackersgroep eist losgeld na Klue-datalek: double extortion treft LastPass-klanten

Bij het Klue-datalek beloven de oorspronkelijke hackers de buit te wissen, maar een tweede groep eist nu losgeld van klanten als LastPass. Deze double extortion verandert de risicoberekening voor elk getroffen bedrijf.

LastPass lekt klantgegevens via supply chain-aanval op leverancier Klue
Nieuws
5 min

23 jun 12:27

LastPass lekt klantgegevens via supply chain-aanval op leverancier Klue

Aanvallers compromitteerden Klue, een tool die LastPass koppelde aan Salesforce, en stalen zo namen, e-mailadressen en adressen van klanten. De wachtwoordkluizen bleven veilig, maar de phishingkans neemt toe.

'We hebben MFA aan' is geen strategie: de aanval verschoof naar je sessie
Inzicht
6 minBijgewerkt om 16:50

14 jul 13:03

'We hebben MFA aan' is geen strategie: de aanval verschoof naar je sessie

Anthropic verlengt gratis Fable 5 opnieuw tot 19 juli
Nieuws
3 min

13 jul 08:11

Anthropic verlengt gratis Fable 5 opnieuw tot 19 juli

Anthropic stelt de overstap van Claude Fable 5 naar betaalde verbruikscredits opnieuw uit, nu tot 19 juli. Tot dan blijft het topmodel gratis in je abonnement, voor maximaal de helft van je wekelijkse limiet.