密码管理器厂商LastPass紧急警告用户 小心最近一直以来的针对该平台用户的网络钓鱼攻击
攻击者通过发送伪造的安全通知,企图引诱用户访问欺诈性网站。
仿冒电子邮件被精心制作成类似于合法的公司通信,通知收件人更新的安全策略,并将他们定向到一个冒充DocuSign(一项电子签名服务)的登录页面,并声称提供一份文档供审查。
LastPass强调,尽管攻击者使用的域名看起来像是合法的公司服务,但其系统并未遭到破坏,钓鱼邮件也并非来自其基础设施。
从“hello@lastpassnewsletter.com”发送的电子邮件通知用户LastPass中所谓的服务策略更改,包括增强的SaaS监控、管理员的主密码重置选项以及管理控制台改进。
点击嵌入在电子邮件中的“查看和访问条款”按钮,用户将进入一个模仿DocuSign(一项电子签名服务)服务的网站,该网站广泛用于以电子方式发送、签署和管理文档。
但是,使用的域是lastpasscompliance[。]com,已被微软Defender for Office 365和Cloudflare标记为恶意。
虽然LastPass无法证实该活动的目标,但该公司表示,假冒网站会提示用户下载一个声称支持Windows和macOS的文件。
该网站通过一个聊天框提供实时支持,但不清楚它是否有功能。在撰写本文时,该恶意网站已被下线。
BleepingComputer发现Bitwarden用户被从“hello@bitwardennewsletter.com”发送的类似电子邮件锁定,并将他们重定向到bitwardencompliance。]com。
今年3月,LastPass就假冒密码服务的虚假未经授权的帐户访问警报发出警告,这些警报针对的是那些使用捏造的通信线程的用户,旨在增加紧迫性并导致数据泄露。
早些时候,在1月份,LastPass用户被虚假警报锁定,声称他们需要在24小时内备份他们的保险库,据称是因为即将到来的系统维护。
LastPass提醒用户,它永远不会要求用户提供主密码,并要求他们向abuse@lastpass.com报告任何可疑的通信。
建议在钓鱼网站上输入凭据的用户立即从受信任的设备上更改其主密码,并检查其保管库中的可疑活动。
LastPass强调,尽管攻击者使用的域名看起来像是合法的公司服务,但其系统并未遭到破坏,钓鱼邮件也并非来自其基础设施。
从“hello@lastpassnewsletter.com”发送的电子邮件通知用户LastPass中所谓的服务策略更改,包括增强的SaaS监控、管理员的主密码重置选项以及管理控制台改进。
点击嵌入在电子邮件中的“查看和访问条款”按钮,用户将进入一个模仿DocuSign(一项电子签名服务)服务的网站,该网站广泛用于以电子方式发送、签署和管理文档。
但是,使用的域是lastpasscompliance[。]com,已被微软Defender for Office 365和Cloudflare标记为恶意。
虽然LastPass无法证实该活动的目标,但该公司表示,假冒网站会提示用户下载一个声称支持Windows和macOS的文件。
该网站通过一个聊天框提供实时支持,但不清楚它是否有功能。在撰写本文时,该恶意网站已被下线。
BleepingComputer发现Bitwarden用户被从“hello@bitwardennewsletter.com”发送的类似电子邮件锁定,并将他们重定向到bitwardencompliance。]com。
今年3月,LastPass就假冒密码服务的虚假未经授权的帐户访问警报发出警告,这些警报针对的是那些使用捏造的通信线程的用户,旨在增加紧迫性并导致数据泄露。
早些时候,在1月份,LastPass用户被虚假警报锁定,声称他们需要在24小时内备份他们的保险库,据称是因为即将到来的系统维护。
LastPass提醒用户,它永远不会要求用户提供主密码,并要求他们向abuse@lastpass.com报告任何可疑的通信。
建议在钓鱼网站上输入凭据的用户立即从受信任的设备上更改其主密码,并检查其保管库中的可疑活动。


评论1次
这种钓鱼套路其实挺常见的,就是利用你对"合规更新""安全策略变更"这些关键词的紧张感,逼你快速点链接。国内之前也有一大波冒充微信、支付宝的钓鱼,都是这个路子——先制造点紧迫感,再搞个高仿页面钓鱼。
有个土办法可以防一手:所有邮箱里来的登录链接,先 hover 看一下域名再点。LastPass 的钓鱼域名是 lastpasscompliance.com,正规的肯定是 lastpass.com 结尾或者官方子域名。看到什么 compliance、verify、secure 之类的杂七杂八后缀,基本可以拉黑了。
另外建议开启 LastPass 的多因素认证,就算主密码泄露了,攻击者也登不进去。多因素这东西真的是成本最低、效果最好的防护手段了。
还有就是 Never trust, always verify。如果真收到了所谓的"安全通知",直接去官网手动输入地址登录后台看,别点邮件里的链接。这是最稳的操作。