LastPass ने एक चल रहे फ़िशिंग अभियान के बारे में चेतावनी जारी की है, जिसमें नकली सुरक्षा नोटिस भेजकर उपयोगकर्ताओं को धोखाधड़ी वाली वेबसाइटों की ओर ले जाया जाता है। Bitwarden के उपयोगकर्ताओं को भी समान ई‑मेल मिल रहे हैं, जिससे ऑनलाइन पासवर्ड प्रबंधन सेवाओं की सुरक्षा की फिर से जांच की आवश्यकता उजागर हो रही है।
मुख्य बिंदु (Key Takeaways)
- LastPass और Bitwarden दोनों को फर्जी सुरक्षा अलर्ट वाले फ़िशिंग ई‑मेल मिले
- ई‑मेल में DocuSign की नकल करने वाले डोमेन (lastpasscompliance.com) का उपयोग किया गया
- उपयोगकर्ताओं को तुरंत मास्टर पासवर्ड बदलना और संदिग्ध गतिविधि की जाँच करनी चाहिए
साइबर सुरक्षा विशेषज्ञों ने हाल ही में LastPass को एक विस्तृत फ़िशिंग अभियान के बारे में चेतावनी जारी करते हुए बताया कि हमलावरों ने कंपनी के आधिकारिक संचार की नकल करके उपयोगकर्ताओं को धोखाधड़ी वाली वेबसाइटों की ओर मोड़ा है। इस प्रकार के ई‑मेल में अक्सर “डॉक्यूमेंट समीक्षा” या “नियमों की पुनः पुष्टि” जैसे बटन होते हैं, जो क्लिक करने पर उपयोगकर्ता को lastpasscompliance.com डोमेन पर ले जाते हैं, जिसे Microsoft Defender और Cloudflare ने खतरनाक सूची में जोड़ दिया है।
फ़िशिंग ई‑मेल का स्वरूप
ई‑मेल का प्रेषक पता [email protected] दिखाया गया है, और संदेश में बताया गया है कि LastPass ने अपनी SaaS मॉनिटरिंग, एडमिन कंसोल और मास्टर पासवर्ड रीसेट प्रक्रियाओं में बदलाव किए हैं। उपयोगकर्ता “Review & Access Terms” बटन पर क्लिक करके एक नकली DocuSign पेज पर पहुँचते हैं, जहाँ उन्हें एक फ़ाइल डाउनलोड करने का विकल्प दिया जाता है, जो Windows और macOS दोनों के लिए दावा करती है।
Bitwarden के उपयोगकर्ताओं को भी लक्ष्य बनाया गया
समान तकनीक का उपयोग करके Bitwarden के उपयोगकर्ताओं को भी [email protected] से ई‑मेल भेजे जा रहे हैं, जो उन्हें bitwardencompliance.com पर रीडायरेक्ट करते हैं। यह दिखाता है कि हमलावरों ने पासवर्ड मैनेजर्स के बीच एक समान खाका अपनाया है, जिससे कई उपयोगकर्ता प्रभावित हो सकते हैं।
पिछले फ़िशिंग प्रयासों का इतिहास
LastPass ने मार्च 2026 में पहले भी नकली “अधिकृत खाता एक्सेस” अलर्ट भेजे थे, और जनवरी 2026 में “वॉल्ट बैकअप” अलर्टों के साथ उपयोगकर्ताओं को घबराहट में डालकर संवेदनशील डेटा निकालने की कोशिश की थी। इन घटनाओं ने उपयोगकर्ताओं को कंपनी द्वारा कभी भी मास्टर पासवर्ड नहीं मांगा जाने की स्पष्ट चेतावनी को दोहराने के लिए प्रेरित किया।
उपयोगकर्ताओं के लिए त्वरित कदम
यदि कोई उपयोगकर्ता इन फ़िशिंग साइटों पर अपना लॉगिन या मास्टर पासवर्ड दर्ज कर चुका है, तो उसे तुरंत भरोसेमंद डिवाइस से पासवर्ड बदलना चाहिए, वॉल्ट की जाँच करनी चाहिए और किसी भी असामान्य गतिविधि की सूचना [email protected] पर देनी चाहिए। साथ ही, दो‑कारक प्रमाणीकरण (2FA) को सक्रिय करके अतिरिक्त सुरक्षा परत जोड़ना अत्यावश्यक है।
भविष्य की सुरक्षा रणनीति
साइबर सुरक्षा टीमों को फ़िशिंग अभियानों के शुरुआती संकेतों पर तेज़ प्रतिक्रिया देनी चाहिए और ई‑मेल फ़िल्टरिंग, डोमेन‑आधारित संदेश प्रमाणीकरण (DMARC) तथा उन्नत उपयोगकर्ता प्रशिक्षण को अपनाना चाहिए। बिखरते हुए खतरों के खिलाफ निरंतर जागरूकता और प्रोटोकॉल अपडेट ही इस प्रकार के बड़े‑पैमाने के फ़िशिंग प्रयासों को रोकने की कुंजी है।