LastPass 用户警惕：黑客冒充“死者家属”骗取密码库访问权

10 月 25 日消息，科技媒体 bleepingcomputer 昨日（10 月 24 日）发布博文，报道称密码管理器 LastPass 已示警其用户，警惕由黑客组织 CryptoChameleon 发起的新型网络钓鱼攻击。

该媒体指出该攻击最早追溯到 10 月中旬，攻击者利用了 LastPass 的“遗产继承”（Emergency Access）功能，向用户发送邮件，谎称用户的某位家人已上传死亡证明，请求访问其密码库。

为了增加可信度，邮件中甚至包含一个伪造的代理 ID 号，并诱导收件人若本人尚在，则需点击链接取消该请求，从而引诱用户落入陷阱。

用户一旦点击邮件中的链接，就会被重定向到一个名为 lastpassrecovery [.] com 的欺诈性网站。该网站完美仿冒了 LastPass 的官方登录页面，要求用户输入自己的主密码。一旦用户输入并提交，其主密码便会被攻击者窃取，整个密码库将面临泄露风险。

LastPass 还指出，在某些案例中，攻击者甚至会主动致电受害者，冒充 LastPass 员工，通过电话引导用户在钓鱼网站上输入凭据，实施双重欺骗。

与今年 4 月该组织发起的攻击相比，此次活动不仅范围更广，技术也更为先进。一个关键的升级是，攻击者的目标已从传统密码扩展到了“通行密钥”（Passkeys）。

LastPass 发现，CryptoChameleon 使用了如 mypasskey [.] info 和 passkeysetup [.] com 等专门针对通行密钥的钓鱼域名。这表明，随着主流密码管理器开始支持并同步通行密钥，黑客也已迅速调整策略，开始直接攻击这种被认为是更安全的无密码认证技术。

援引博文介绍，执行此次攻击的 CryptoChameleon（又名 UNC5356）是一个以经济利益为驱动的威胁组织，其专长是利用钓鱼工具包窃取加密货币。该组织曾通过伪造 Okta、Gmail、iCloud 等知名服务的登录页面，成功攻击过币安（Binance）、Coinbase 等多个加密货币平台的用户。