社交工程資訊 - 駭客正鎖定LastPass用戶發動釣魚信件攻擊

駭客正鎖定LastPass用戶發動釣魚信件攻擊

一、摘要

        資安業者ESET於2023年9月22日發布警告，駭客正鎖定LastPass用戶發動釣魚信件攻擊，企圖竊取用戶的帳號密碼。ESET指出，駭客偽造LastPass的電子郵件，並在信件中附上帶有惡意連結的檔案，一旦用戶點擊連結並下載檔案，惡意程式就會被安裝在電腦上，並竊取用戶的LastPass密碼。

二、存在風險

        駭客透過釣魚信件攻擊LastPass用戶，主要有以下幾個風險：

• 竊取用戶的LastPass密碼：LastPass是一種密碼管理工具，用戶可以將所有網站和應用程式的密碼儲存在LastPass中，並使用一個主密碼來存取。一旦駭客竊取了用戶的LastPass密碼，他們就可以輕鬆取得用戶在其他網站和應用程式的帳號密碼。
• 植入惡意程式：駭客除了竊取用戶的LastPass密碼之外，還可能在用戶的電腦上植入惡意程式。惡意程式可以用來竊取其他敏感資訊，例如金融資訊、個人資料等。

圖片來源：取至MalwarebytesLABS

三、建議改善措施：

    為了避免成為釣魚信件攻擊的受害者，用戶可以採取以下措施進行防範：

• 提高警覺：不要隨意點擊來自不明來源的電子郵件中的連結或附件。
• 使用防毒軟體：安裝並更新防毒軟體，以保護電腦免受惡意程式的攻擊。
• 定期更改密碼：定期更改重要帳號的密碼，例如：LastPass帳號。

    情資報告連結：https://www.malwarebytes.com/blog/news/2023/09/nasty-lastpass-phish