吳明宜LastPass提醒用戶警惕釣魚信件,近期駭客冒充其安全更新通知,誘導用戶點擊連結並輸入主密碼,進而竊取帳號。LastPass已撤下該假網域並呼籲用戶通報可疑郵件,並分享入侵指標。
密碼管理工具 LastPass 發出警告,呼籲用戶警惕新型釣魚信件攻擊。駭客正偽造備份通知,試圖竊取用戶的主密碼 (Master Password) 或劫持帳號。
這波釣魚攻擊冒充 LastPass 系統安全更新通知,郵件標題聲稱公司即將進行基礎架構與儲存庫的安全更新,並警告用戶已錯過最後期限,必須在 24 小時內備份其密碼儲存庫。
信件誘導用戶點擊連結前往所謂的「LastPass 密碼儲存庫」進行備份。實際上,該連結先導向 Amazon S3 代管的網站,隨後轉址至偽造的 LastPass 釣魚網頁。一旦用戶輸入帳號與密碼進行驗證,憑證隨即遭竊。
LastPass 強調,公司從未、未來也不會要求用戶輸入主密碼。目前 LastPass 已採取行動撤下該惡意網域,並呼籲用戶通報可疑信件。此外,LastPass 也公布了入侵指標 (IoC),包含假網域、 IP 位址、寄件者資訊及信件主旨供用戶比對。
此次攻擊主要發生在去年底假期間,駭客看準廠商支援人力不足,可能導致事件偵測及回應延遲的弱點。
早在去年 12 月,資安業者 TRM Labs 便曾警告,2022 年 LastPass 資料外洩事件中遭竊的用戶備份資訊,仍持續在網路上流傳,並被用於破解防護較弱的主密碼。專家預測,今年仍可能有相當數量的加密貨幣竊取事件與此有關。同時,英國資訊委員會辦公室 (ICO) 也因 LastPass 在該次外洩事件中的安全疏失,於去年 12 月對其處以 160 萬美元的罰款。