你我的數位生活充滿了帳號和密碼,許多人選擇透過密碼管理工具來保護相關資料,然而,攻擊者也看上這些用戶,假借各式理由進行網釣,試圖誘騙用戶交出主密碼。
密碼管理服務商LastPass提出警告,有人正鎖定該公司的客戶,發動一波新的釣魚攻擊活動。駭客利用偽造的電子郵件對話串與假登入網頁,企圖誘騙使用者輸入主密碼等憑證資料,以竊取帳戶控制權。
根據LastPass威脅情報、緩解與升級團隊(TIME)發布的說明,這起攻擊活動約在2026年3月1日開始。攻擊者透過多個電子郵件帳號寄送釣魚郵件,郵件主旨與內容看似轉寄的內部對話,聲稱有人正在對使用者的LastPass帳戶進行未經授權的操作,例如嘗試匯出密碼保險庫(Vault)、執行帳戶復原,或註冊新的受信任裝置。
這些郵件刻意營造緊急情境,例如提醒使用者帳戶可能遭到入侵,並要求收件者立即採取行動,包括鎖定保管庫、撤銷裝置存取權,或回報可疑活動。郵件附帶的連結,則會將受害者導向偽造的LastPass單一登入(SSO)網頁,誘騙其輸入帳號與主密碼等憑證。
LastPass指出,攻擊者利用顯示名稱欺騙(Display Name Spoofing)手法,使寄件者名稱看起來像是來自LastPass,然而,實際寄送郵件的地址,並非LastPass網域。由於許多收信軟體(特別是行動裝置版)只顯示寄件者名稱並隱藏完整地址,使用者若未仔細查看,很容易誤信郵件來源。
此外,攻擊郵件中的連結會導向假冒網站,例如使用類似「verify-lastpass[.]com」的網域,並建立與LastPass登入網頁極為相似的介面,以收集受害者輸入的帳密資料。一旦主密碼被竊取,攻擊者便可能存取受害者儲存在密碼保管庫中的各種憑證。
LastPass表示,目前沒有跡象顯示其系統本身遭到入侵,此次事件類型屬於針對使用者的社交工程攻擊,他們已公布相關入侵指標(IoC),包括惡意網域、IP位址、寄件者地址,以及郵件主旨,並建議企業透過郵件閘道或資安設備封鎖。
值得注意的是,這並非今年首次針對LastPass用戶的釣魚攻擊。1月下旬已有另一波釣魚活動,攻擊者假冒系統維護通知,誘導用戶在24小時內備份密碼保管庫,實際上則將受害者導向惡意網站。
熱門新聞
2026-03-06
2026-03-02
2026-03-02
2026-03-04
2026-03-05
2026-03-02
2026-03-02