我们的数字生活充满了各种账号和密码，许多人选择使用密码管理工具来保护这些信息，但攻击者也盯上了这些用户，以各种理由实施网络钓鱼，试图诱骗用户交出主密码。

密码管理服务提供商LastPass发出警告，有人正针对其用户展开新一轮钓鱼攻击。黑客通过伪造的电子邮件对话和虚假登录页面，诱骗用户输入主密码等凭证，以窃取账户控制权。

伪造内部对话，制造紧急氛围

根据LastPass威胁情报、缓解与升级团队（TIME）发布的说明，此次攻击活动约始于2026年3月1日。攻击者使用多个电子邮件账户发送钓鱼邮件，邮件主题和内容伪装成内部转寄的对话，声称有人正在对用户的LastPass账户进行未经授权的操作，例如尝试导出密码库、执行账户恢复，或注册新的受信任设备。

这些邮件刻意营造紧急氛围，提醒用户账户可能已被入侵，并要求立即采取行动，如锁定密码库、撤销设备访问权限，或报告可疑活动。邮件中包含的链接会将受害者引导至伪造的LastPass单点登录（SSO）页面，诱使其输入账号和主密码。

伪装发件人名称，误导用户判断

LastPass指出，攻击者利用“显示名称欺骗”手法，使发件人名称看起来像是来自LastPass，但实际发送邮件的地址并非LastPass官方域名。由于许多邮件客户端（尤其是移动端）仅显示发件人名称而隐藏完整邮箱地址，若用户不仔细核查，极易误信邮件来源。

此外，邮件中的链接会跳转至仿冒网站，例如使用类似“verify-lastpass[.]com”的域名，并复刻LastPass登录页面的界面，以窃取用户输入的账号密码。一旦主密码被获取，攻击者便可能访问用户密码库中存储的所有凭证信息。

LastPass表示，目前没有证据表明其系统本身被入侵，此次事件属于针对用户的社交工程攻击。该公司已公布相关入侵指标（IoC），包括恶意域名、IP地址、发件人邮箱及邮件主题，并建议企业通过邮件网关或安全设备进行封堵。

值得注意的是，这并非今年首次针对LastPass用户的钓鱼攻击。1月下旬曾出现另一波攻击，攻击者假冒系统维护通知，诱导用户在24小时内备份密码库，实则将其导向恶意网站。