LastPass用戶遭鎖定，駭客假借維護通知要求用戶限時備份密碼保險庫，企圖騙取主密碼

近年來鎖定密碼管理服務LastPass用戶的攻擊行動，不時有消息傳出，例如：去年有人假借提供macOS版LastPass應用程式的名義，在GitHub散布竊資軟體Atomic Stealer（AMOS Stealer），近期又有攻擊行動，使得LastPass再度提出警告，呼籲用戶提高警覺。

LastPass旗下的威脅情報團隊Threat Intelligence, Mitigation, and Escalation（TIME）提出警告，他們約從1月19日開始，發現針對該公司用戶發起的網釣活動，駭客透過多個電子郵件信箱寄送釣魚信，這些信件雖然有多種標題，但內容大致相同，都是宣稱LastPass即將進行維修，用戶應在24小時內備份密碼保險庫因應。對此，LastPass強調，這是駭客製造使用者壓力的手段，他們不會要求用戶在短時間進行相關備份，使用者要特別提高警覺，若是無法自行判斷信件是否來自LastPass，可向abuse@lastpass.com進行通報及確認。

他們提及駭客在釣魚信的標題裡，會以「緊急」、「重要更新」或「最後機會」等字眼，來製造收件人緊張，這些信件會附上連結，佯稱能協助收件人備份密碼保險庫，但假如照做，收件人就會被導向釣魚網站，而有可能被騙走LastPass帳密資料。TIME團隊指出，駭客特別挑選美國週末假期出手，這是企業組織資安人力配置降低的時間，目的就是試圖延遲相關活動被發現的時間。

對此，LastPass正與第三方夥伴合作，儘速將釣魚網域下架，並強調該公司未曾要求用戶提供主密碼，凡是要求用戶輸入這類資料，就可能是網釣攻擊。

回顧過去，除前述2025年針對macOS用戶散布竊資軟體的活動，這幾年都有針對LastPass用戶的攻擊事故傳出，2024年，駭客利用語音網路釣魚手法，冒充LastPass客服誘騙用戶密碼保險庫資料；2023年有人寄送釣魚信，佯稱收信人部分LastPass功能遭到封鎖，必須在指定時間內輸入個資進行身分確認，才能重新啟用，但實際上收信人若是照做，他們輸入的個資就落入駭客手裡。