Salasanamanagerin "turvapäivitys" oli kalastelua – LastPass ja Bitwarden varoittavat väärennetyistä ilmoituksista
Kampanja kääntää tietoturvan aseeksi itseään vastaan. Mitä tarkemmin salasanojasi vartioit, sitä uskottavammalta yhtiön nimissä saapuva valeviesti tuntuu.
Tiivistelma
LastPass varoitti 14. heinäkuuta käynnissä olevasta kalastelukampanjasta, joka esiintyy yhtiön omissa nimissä ja kohdistuu myös Bitwarden-käyttäjiin. Viestit lupaavat päivitettyjä turvakäytäntöjä ja ohjaavat vale-DocuSign-sivulle, joka kehottaa lataamaan tiedoston. Tavoitteena on todennäköisesti käyttäjätunnusten varastaminen.
Salasanamanageri on juuri se työkalu, jonka pitäisi suojata sinua kalastelulta. Entä jos se onkin syötti?
LastPass varoitti 14. heinäkuuta käynnissä olevasta kalastelukampanjasta, joka esiintyy yhtiön omissa nimissä. BleepingComputerin mukaan sama tekijä on ottanut kohteekseen myös Bitwarden-käyttäjät lähes identtisellä käsikirjoituksella.
Viesti saapuu osoitteesta [email protected] ja lupaa "päivitettyjä turvakäytäntöjä". Mukana on juuri sitä sanastoa, joka saa tietoturvasta kiinnostuneen napsauttamaan: parannettua SaaS-valvontaa, pääsalasanan nollausvaihtoehtoja ylläpitäjille ja hallintakonsolin parannuksia. Bitwarden-versio tulee osoitteesta [email protected] samalla manipulaatiolla.
Linkki ei vie LastPassin sivuille. Se ohjaa verkkotunnukseen lastpasscompliance[.]com, ja Bitwardenin tapauksessa osoitteeseen bitwardencompliance[.]com. Sekä Microsoftin Defender for Office 365 että Cloudflare ovat merkinneet molemmat haitallisiksi.
Kumpikin sivu jäljittelee DocuSignin aitoa allekirjoituspalvelua. Vale-DocuSign kehottaa lataamaan tiedoston ja väittää tukevansa sekä Windowsia että macOS:ää.
DocuSign on valittu syystä. Sähköinen allekirjoitus on työelämässä arkipäivää, ja tuttu käyttöliittymä laskee varautuneenkin lukijan varovaisuutta. Uhri luulee vahvistavansa dokumenttia, vaikka todellisuudessa hän lataa tuntemattoman tiedoston.
Suomessa salasanamanagerit ovat suosittuja juuri tietoturvasta tarkoilla käyttäjillä, ja se tekee kampanjasta kavalan: kohteena on nimenomaan se joukko, joka pitää itseään hyvin suojattuna.
Mitä lataus todella tekisi? LastPass ei pystynyt vahvistamaan kampanjan lopullista tavoitetta.
Tunnusten varastaminen on kuitenkin todennäköisin selitys, arvioi yhtiö. Sama tekijä yritti vastaavaa jo tammi- ja maaliskuussa 2026, joten kyseessä ei ole yksittäinen isku vaan toistuva kaava. Se palaa muutaman kuukauden välein hieman hiotumpana, ja jokainen kierros jäljittelee vähän tarkemmin oikean palvelun sanastoa ja ulkoasua.
– LastPass ei koskaan kysy käyttäjiltä heidän pääsalasanaansa, yhtiö painottaa varoituksessaan.
Siinä on oikeastaan koko jutun ydin. Pääsalasana on ainoa avain holviin, eikä yksikään aito palvelu pyydä sitä sähköpostilinkin takana.
Tunnistusmerkit
Kiireinen turva-aihe on ensimmäinen hälytysmerkki. Aito palveluntarjoaja ei paineista käyttäjää toimimaan heti.
Lähettäjä paljastaa toisen. Osoite on "newsletter"-aliverkkotunnus, ei virallinen lastpass.com tai bitwarden.com.
Linkki vie compliance-päätteiselle valesivulle, joka ohjaa lataamaan sovelluksen. Aito salasanapalvelu ei jaa työpöytäohjelmaa DocuSign-tyylisen allekirjoitussivun kautta, eikä koskaan pyydä pääsalasanaa lomakkeeseen.
Yksi hiljainen vihje jää helposti huomaamatta. Salasanamanagerisi ei täytä tunnuksia väärässä verkkotunnuksessa. Jos automaattitäyttö ei laukea kirjautumissivulla, olet mitä todennäköisimmin väärässä osoitteessa.
Mitä tehdä
Älä napsauta sähköpostin linkkiä. Mene palveluun aina itse kirjoittamalla osoite selaimeen tai avaamalla se kirjanmerkistä.
Älä koskaan syötä pääsalasanaa sähköpostilinkin takana. Tarkista lähettäjän todellinen verkkotunnus merkki merkiltä.
Ilmoita viestistä palveluntarjoajalle. LastPass ottaa vastaan ilmoitukset osoitteessa [email protected]. Suomessa kalasteluviestin voi ilmoittaa myös Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Jos ehdit jo syöttää tunnuksesi, vaihda pääsalasana välittömästi luotetulta laitteelta ja käy holvi läpi epäilyttävän toiminnan varalta. Ota kaksivaiheinen tunnistautuminen käyttöön, jos se ei vielä ole päällä.
Suomalaisviranomaisilta ei toistaiseksi ole kohdennettua havaintoa juuri tästä kampanjasta. Mekaniikka on kuitenkin yleismaailmallinen, ja sama viesti kääntyy suomeksi yhtä vaivatta kuin englanniksi.
Lahteet
- BleepingComputer (14.07.2026)
- LastPass (14.07.2026)