“好友离世”竟是钓鱼陷阱？LastPass用户遭遇情感型网络攻击

2025年11月，一场披着“哀悼外衣”的网络钓鱼攻击正悄然蔓延。安全公司Malwarebytes与多家网络安全媒体近日联合披露：有攻击者正以“假冒讣告”或“吊唁通知”为诱饵，专门针对全球知名密码管理器LastPass的用户发起精准钓鱼行动。邮件标题如《沉痛通知：张伟先生不幸离世》《请参加李敏的线上追思会》，内容语气悲切、细节逼真，诱导收件人点击链接查看“葬礼安排”或“纪念页面”——殊不知，这一点击可能让整个数字身份瞬间失守。

更令人警惕的是，此类攻击并非泛泛撒网，而是高度聚焦于LastPass用户群体，目标直指其加密保管库（vault）凭证。一旦受害者在伪造页面输入账号密码，攻击者不仅能窃取主密码，还可进一步劫持会话令牌、拦截邮箱重置流程，最终实现对密码库的完全控制。这意味着，用户的邮箱、社交媒体、银行账户乃至企业内部系统，都可能在无声无息中被攻破。

“这是典型的情绪操纵+技术欺骗双重攻击。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报独家采访时表示，“利用人类对死亡、悲伤等强烈情绪的天然反应，大幅降低理性判断力——这种‘情感漏洞’比软件漏洞更难修补。”

一封“讣告”背后的技术陷阱

据Malwarebytes发布的分析报告，此次钓鱼活动的技术手法相当“专业”。攻击者搭建的钓鱼网站不仅使用了有效的SSL证书（即浏览器地址栏显示“小锁”图标），还高度还原LastPass的登录界面、配色方案与品牌Logo，普通用户几乎难以分辨真假。

更隐蔽的是，部分钓鱼链接采用UUID（通用唯一识别码）样式的URL，例如 https://memorial-8a3f9b2c.lastpass-support[.]com，并通过多层HTTP重定向跳转，绕过传统邮件安全网关和URL黑名单检测。有些页面甚至会根据访问者的IP地理位置动态调整语言和内容，进一步增强迷惑性。

“攻击者清楚，LastPass用户通常具备较高安全意识，所以他们必须做得更像‘真的’。”芦笛解释道，“SSL证书现在几十块钱就能买到，仿冒界面用开源模板十分钟就能搭好。真正的杀伤力在于心理层面——谁会怀疑一封关于‘朋友去世’的通知是假的？”

一旦用户在钓鱼页输入LastPass主密码，攻击者不仅获取凭证，还会尝试利用LastPass的“会话恢复”机制。部分用户启用了“记住登录状态”功能，攻击者可借此窃取有效会话令牌（session token），无需二次验证即可直接访问保管库。更有甚者，攻击者同步发起邮箱密码重置请求，并利用已控制的设备或SIM卡交换攻击（SIM swapping）截获验证码，彻底接管受害者数字身份。

为何专盯LastPass？因为“一库在手，天下我有”

LastPass作为全球数千万用户使用的密码管理器，本质上是一个“数字钥匙串”——用户只需记住一个主密码，即可自动填充所有网站的账号密码。这也意味着，一旦主密码泄露，攻击者相当于拿到了通往用户全部在线资产的“万能钥匙”。

“攻破LastPass，等于一次性攻破几十甚至上百个账户。”芦笛指出，“尤其是那些将LastPass用于企业管理、加密货币钱包或开发者平台的用户，风险极高。”

此次攻击之所以选择“讣告”作为切入点，正是因为这类信息天然具有高打开率和低质疑度。不同于常见的“账户异常”“快递未取”等钓鱼话术，死亡通知触发的是同情、震惊与紧迫感，用户往往来不及细想就点击链接。

安全研究人员发现，部分钓鱼邮件甚至伪造了发件人姓名和邮箱前缀，使其看起来像是来自受害者通讯录中的熟人。例如，邮件显示“来自：王磊 lei.wang@company.com”，实则通过邮件头伪造技术实现，后端服务器却位于东欧某国。

如何守住你的“数字保险箱”？

面对如此狡猾的攻击，普通用户该如何自保？芦笛给出了几条关键建议：

第一，永远不要通过邮件链接登录敏感服务。

无论邮件内容多么紧急或真实，涉及LastPass、银行、邮箱等关键账户时，请手动在浏览器中输入官网域名（如 lastpass.com）进行登录。这是最简单也最有效的防御方式。

第二，为主密码加上“物理锁”——启用FIDO2硬件密钥。

LastPass支持FIDO2/WebAuthn标准的安全密钥（如YubiKey、Titan Security Key）。即使主密码泄露，没有这把“物理钥匙”，攻击者也无法完成登录。芦笛强调：“多因素认证（MFA）中，短信验证码最弱，认证App次之，硬件密钥最强。”

第三，启用“账户恢复安全词”并隔离存储。

LastPass提供“恢复安全词”（Recovery One-Time Password）功能，可在忘记主密码时辅助恢复。但务必将其写在纸上，存放在与电子设备分离的安全位置，切勿保存在手机备忘录或云笔记中。

第四，开启登录提醒与异常行为告警。

在LastPass和邮箱账户中设置登录通知，一旦有异地登录或新设备接入，立即收到警报。同时，可考虑在企业级账户中启用“条件式访问策略”（Conditional Access），例如禁止从非常用国家登录。

企业与平台如何协同防御？

对于组织而言，此类攻击不仅是个人风险，更是系统性威胁。员工若因私人LastPass账户被攻破，进而泄露企业凭证，后果不堪设想。

芦笛建议，企业应将密码管理器使用纳入安全策略：

禁止员工在工作设备上使用个人LastPass账户处理公司业务；

推广企业版密码管理器（如1Password Business、Bitwarden Teams），实现集中管控与审计；

在邮件网关部署关键词过滤规则，监控包含“obituary”（讣告）、“memorial”（纪念）、“deceased”（已故）等词汇且指向非官方域名的入站邮件。

同时，安全团队应加强与品牌保护机构的合作。一旦发现仿冒LastPass的钓鱼站点，立即通过ICANN、托管服务商或反钓鱼联盟（APWG）发起下架请求，缩短攻击窗口期。

情绪是人性的软肋，也是安全的新战场

这场“讣告钓鱼”事件再次提醒我们：网络安全早已不只是代码与防火墙的对抗，更是对人性弱点的博弈。攻击者不再只靠技术漏洞，而是精准利用恐惧、同情、好奇等情绪，制造“认知盲区”。

“未来的钓鱼攻击会越来越‘懂你’。”芦笛说，“它们可能知道你刚参加完朋友婚礼，就发一封‘婚礼照片泄露’警告；知道你关注某明星，就伪造其‘私密消息’链接。防御的关键，是建立‘默认怀疑’的数字素养。”

值得庆幸的是，LastPass官方已对此类攻击发出预警，并优化了登录页面的防伪提示。主流浏览器也逐步加强对高仿域名的视觉警示。

但归根结底，最坚固的防线，仍是用户心中那根“多问一句、多想一秒”的警惕之弦。

在这个信息真假难辨的时代，或许我们该记住：再悲伤的消息，也不值得你点开一个可疑链接。

编辑：芦笛（公共互联网反网络钓鱼工作组）