LastPass用戶遭鎖定，駭客假借維護通知要求用戶限時備份密碼保險庫，企圖騙取主密碼

攻擊手法與警告

密碼管理服務業者LastPass提出警告，他們掌握最新一波網釣攻擊活動，駭客假借LastPass維修的名義，要求用戶必須在24小時內完成密碼保險庫的備份因應，實際上是企圖騙取用戶的主密碼。

過去曾有報導指出，LastPass遭駭客入侵，導致大量用戶的主密碼與個人資料外洩。例如，2021年底，許多用戶收到LastPass發出的電子郵件警告，內容顯示其主密碼已被洩露，且有人試圖從未知位置登入帳戶。

資安廠商TRM Labs指出，雖然這些憑證經過AES256加密，攻擊者初期可能無法讀取，但若用戶使用弱主密碼，其管理庫最終仍可能被離線破解。

有報導指出，黑客曾仿冒LastPass官方登錄頁面，以「死者家屬」為名，騙取用戶輸入主密碼，一旦提交，主密碼即被竊取，導致整個密碼庫面臨洩露風險。

此外，LastPass亦提醒用戶，若主密碼強度不足，攻擊者可能透過暴力破解方式取得存儲在加密保險庫中的資料。

LastPass呼籲用戶儘快修改主密碼，並遵循其推薦的密碼最佳實踐，以降低被攻擊風險。