近日有不知名駭客鎖定LastPass用戶發動釣魚信件攻擊,導致LastPass用戶的密碼及個資外洩,連LastPass員工也受害。
本月13日LastPass接獲用戶通報遭到釣魚信件攻擊,安全廠商Malwarebytes也取得信件樣本進行分析。這波攻擊中,用戶接到貌似LastPass技術支援單位寄來的信件,表示用戶某項功能遭到封鎖,用戶需在9月26日前輸入個資完成身分確認以便重啟該功能。為數不詳的用戶點入信中所附連結連進釣魚網站後,讓駭客取得了個資。
圖片來源_Malwarebytes
被騙走的用戶個資包括電子郵件、公司名稱、用戶姓名、住家地址、電話號碼、IP位置,駭客並用這些資訊竊取了用戶的密碼庫(password vaults)。不過LastPass聲稱,如果用戶有遵循密碼最佳實作的話(例如主密碼使用強密碼),要暴力破解取得密碼庫儲存的密碼並不容易。
釣魚網站是代管在本月才設立在斯洛維尼亞的網域。LastPass指出,儘管9月上旬該公司聯同安全廠商關閉了該網域,到了9月下旬又死灰復燃,再度發動攻擊。受害者有多少不得而知,LastPass指出,這波攻擊是全球性,受害者遍及不同產業,也包括該公司87名員工。
LastPass相信這波攻擊和去年8月竊走該公司用戶密碼庫的安全事件,並非同一群人所為。去年8月事件中,駭客成功竊走客戶加密密碼庫,也鎖定一名員工,並成功獲得憑證和金鑰,以存取和解密雲端資料庫,取得部分原始碼和技術資訊。
安全廠商提醒,要防止被網釣攻擊,除了提高警覺外,最好使用密碼管理器,此類工具不會將用戶憑證輸入假網站。此外業者說,雙因素驗證(2FA)也有分,有的只是密碼而已,使用者應該選用搭配FIDO2裝置(例如USB硬體式)的2FA。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19