详细内容或原文请订阅后点击阅览
网络钓鱼诈骗利用虚假死亡通知来欺骗 LastPass 用户
LastPass 警告网络钓鱼者正在利用数字遗嘱功能诱骗人们交出主密码。
来源:Malwarebytes Labs 博客LastPass 已向用户发出有关新的网络钓鱼攻击的警报,该攻击声称收件人已死亡。根据该消息,一名家庭成员已提交死亡证明,以访问收件人的密码库。网络钓鱼电子邮件中的一个链接(据称是为了阻止该请求)会指向一个虚假页面,要求提供 LastPass 用户的主密码。
LastPass 已提醒用户“遗产请求已打开(如果您没有去世,则紧急)家庭成员上传了死亡证明,以重新获得 Lastpass 帐户的访问权限如果您没有去世并且您认为这是一个错误,请回复此电子邮件并选择 STOP”
“遗产请求已打开(如果您未去世,则紧急)
家庭成员上传了死亡证明,以重新获得 Lastpass 帐户的访问权限
如果您没有去世并且您认为这是一个错误,请回复此电子邮件并添加“停止”
LastPass 将这一活动与 CryptoChameleon(也称为 UNC5356)联系起来,该组织之前曾针对加密货币用户和平台进行类似的社会工程攻击。该组织于 2024 年 4 月在网络钓鱼工具包中使用了 LastPass 品牌。
加密变色龙 UNC5356 2024 年 4 月的网络钓鱼工具包网络钓鱼尝试利用合法继承过程,这是 LastPass 中的一项紧急访问功能,允许指定联系人在帐户持有人死亡或丧失行为能力时请求访问保险库。
紧急通道窃取某人的密码管理器凭据使攻击者可以访问其中存储的每个登录信息。我们最近报道了一起企图窃取 1Password 凭据的事件。
尝试窃取 1Password 凭据Lastpass 还指出:
“一些网络钓鱼网站显然是针对万能钥匙的,这反映出网络犯罪分子对万能钥匙越来越感兴趣,同时消费者也越来越多地采用万能钥匙。”密钥