駭客正鎖定LastPass用戶發動釣魚信件攻擊

近日有不知名駭客鎖定LastPass用戶發動釣魚信件攻擊，導致LastPass用戶的密碼及個資外洩，連LastPass員工也受害。

本月13日LastPass接獲用戶通報遭到釣魚信件攻擊，安全廠商Malwarebytes也取得信件樣本進行分析。這波攻擊中，用戶接到貌似LastPass技術支援單位寄來的信件，表示用戶某項功能遭到封鎖，用戶需在9月26日前輸入個資完成身分確認以便重啟該功能。為數不詳的用戶點入信中所附連結連進釣魚網站後，讓駭客取得了個資。

圖片來源_Malwarebytes

被騙走的用戶個資包括電子郵件、公司名稱、用戶姓名、住家地址、電話號碼、IP位置，駭客並用這些資訊竊取了用戶的密碼庫（password vaults）。不過LastPass聲稱，如果用戶有遵循密碼最佳實作的話（例如主密碼使用強密碼），要暴力破解取得密碼庫儲存的密碼並不容易。

釣魚網站是代管在本月才設立在斯洛維尼亞的網域。LastPass指出，儘管9月上旬該公司聯同安全廠商關閉了該網域，到了9月下旬又死灰復燃，再度發動攻擊。受害者有多少不得而知，LastPass指出，這波攻擊是全球性，受害者遍及不同產業，也包括該公司87名員工。

LastPass相信這波攻擊和去年8月竊走該公司用戶密碼庫的安全事件，並非同一群人所為。去年8月事件中，駭客成功竊走客戶加密密碼庫，也鎖定一名員工，並成功獲得憑證和金鑰，以存取和解密雲端資料庫，取得部分原始碼和技術資訊。

安全廠商提醒，要防止被網釣攻擊，除了提高警覺外，最好使用密碼管理器，此類工具不會將用戶憑證輸入假網站。此外業者說，雙因素驗證（2FA）也有分，有的只是密碼而已，使用者應該選用搭配FIDO2裝置（例如USB硬體式）的2FA。