LastPass 警告：伪造安全警报攻击旨在窃取主密码

HackerNews 编译，转载请注明出处：

LastPass 警告出现钓鱼攻击，攻击者利用伪造的未授权访问或密码修改安全警报，窃取用户主密码。

LastPass 向用户发出警告，新型钓鱼攻击使用伪造安全警报，声称发生未授权访问或主密码被修改。这些邮件伪造 LastPass 发件人显示名，试图诱骗收件人泄露主密码，导致账户被盗。

LastPass TIME 团队已向客户发出警报，该活跃钓鱼攻击约始于 2026 年 3 月 1 日。攻击者使用多个邮箱地址、多种邮件标题发送邮件，伪装成关于账户未授权访问的内部转发消息，以此欺骗用户。

LastPass 警告，攻击者会伪造邮件对话记录，制造有人试图导出密码库、恢复账户或注册新设备的假象。

攻击者通过伪造显示名冒充 LastPass，同时隐藏真实的、无关的发件人邮箱地址。邮件诱导用户点击链接，跳转到 verify-lastpass [.] com 伪造 SSO 页面，窃取凭证。

LastPass 发布的警报称：“攻击者利用多数邮件客户端（尤其是移动端）仅显示发件人名称、不展开就隐藏真实地址的特点。邮件要求目标用户通过链接执行操作（如报告可疑行为、断开并锁定密码库、吊销设备等）；这些链接会将用户导向 https [:]//verify-lastpass [.] com 伪造 SSO 登录页面，用于窃取用户凭证。”

LastPass 提醒用户，官方绝不会索要主密码，并正与合作伙伴关停钓鱼网站。建议用户保持警惕，并将可疑的仿 LastPass 邮件上报至 abuse@lastpass.com，共同保护社区安全。

公告中提供了失陷指标（IoC），包括恶意 URL 及相关 IP 地址。

消息来源：securityaffairs.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文