LastPass用戶被鎖定,駭客發送假的帳號異常警告,意圖挾持密碼保險庫
攻擊手法與背景
密碼管理服務商LastPass提出警告,有人正鎖定該公司的客戶,發動一波新的釣魚攻擊活動。駭客利用偽造的電子郵件對話串與假登入網頁,企圖誘騙使用者輸入主密碼等憑證資料,以竊取帳戶控制權。
攻擊細節與風險
- 駭客假借LastPass維修的名義,發送假的帳號異常警告,要求用戶在限定時間內完成密碼保險庫的備份。
- 這些假通知旨在誘騙用戶點擊連結並輸入主密碼,進而讓攻擊者取得對帳戶的完全控制權。
- 攻擊活動已持續數月,且有報導指出,黑客已取得用戶的個人資料與加密密碼。
用戶應對建議
LastPass旗下的威脅情報團隊(TIME)已提出警告,建議用戶應立即檢查其帳戶安全狀態,並確認所有登入活動是否為本人操作。
若發現異常,應立即更改主密碼,並啟用雙重驗證(2FA)以加強帳戶防護。