LastPass用户再陷钓鱼围猎：仿冒邮件借“讣告”之名窃取密码库

近期，全球知名密码管理平台 LastPass 的用户再次成为网络钓鱼攻击的重点目标。据安全媒体 SC Media 报道，一个名为 CryptoChameleon 的威胁组织正大规模发送伪装成“遗产继承请求”的钓鱼邮件，诱导用户上传所谓“死亡证明”，进而骗取其密码保险库的访问权限。更令人警惕的是，部分受害者还接到冒充 LastPass 客服的电话，被引导至伪造登录页面输入主密码和双因素认证信息。

这并非孤立事件。随着数字身份资产价值飙升，围绕密码管理器的攻防战已进入白热化阶段。专家指出，此次攻击不仅手法新颖、欺骗性强，还融合了社会工程、品牌仿冒与自动化投递技术，对普通用户乃至企业安全防线构成严峻挑战。

“死亡证明”成诱饵？钓鱼邮件玩起情感操控

根据 SC Media 于10月27日发布的报告，CryptoChameleon 团伙向 LastPass 用户发送的钓鱼邮件主题多为“遗产继承请求”或“账户紧急验证”。邮件声称，因某位“关联账户持有人去世”，需用户配合上传死亡证明以完成“法律合规流程”，并附带一个看似官方的链接。

点击后，用户会被引导至高度仿真的 Gmail、iCloud、Okta 或 Outlook 登录页面——这些页面并非用于窃取邮箱密码，而是作为跳板，进一步诱导用户输入 LastPass 主密码及通行密钥（passkey）。一旦成功，攻击者即可接管用户的整个密码库，进而入侵其绑定的加密货币钱包（如 Binance、Coinbase、Kraken 等），造成不可逆的资产损失。

更狡猾的是，这些钓鱼邮件中甚至包含虚构的“代理ID编号”，营造出官方流程的假象。部分邮件还设置了“倒计时机制”：若用户未在规定时间内响应，系统将“自动授权”请求——这种制造紧迫感的设计，极大提升了点击率。

“这本质上是一种‘情绪劫持’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时指出，“利用人们对亲人离世、法律纠纷或账户冻结的天然焦虑，是当前高级钓鱼攻击的典型特征。它不再依赖技术漏洞，而是直接攻击人性弱点。”

攻击链条升级：从邮件伪造到语音社工

值得注意的是，此次攻击已不局限于电子邮件。多名受害者反馈，他们在收到钓鱼邮件后不久，便接到自称“LastPass 安全团队”的电话。对方语气专业，能准确说出用户注册邮箱甚至部分账户信息（可能来自此前数据泄露），并以“协助处理异常请求”为由，引导用户访问指定网站完成“身份验证”。

这种“邮件+电话”的组合拳，被称为 Vishing（语音钓鱼）与 Phishing 的协同攻击，显著提高了欺骗成功率。由于 LastPass 本身不通过电话索要用户凭证，此类行为纯属诈骗，但普通用户难以分辨。

此外，攻击者大量使用 passkey-focused 钓鱼域名，如 mypasskey[.]info 和 passkeysetup[.]com。这些域名刻意模仿 FIDO 联盟推广的无密码认证标准（Passkey），试图让用户误以为这是“新一代安全登录方式”，从而放松警惕。

“Passkey 本是提升安全性的技术，却被滥用于钓鱼，说明攻击者也在紧跟技术潮流。”芦笛强调，“用户必须明白：任何要求你‘输入 Passkey’或‘确认生物识别’的网页，都是可疑的——真正的 Passkey 认证由操作系统或浏览器本地完成，不会通过网页表单收集。”

防御建议：从个人习惯到企业策略

面对日益精密的钓鱼攻击，专家呼吁用户与企业同步升级防御意识与技术手段。

对个人用户，芦笛提出三点核心建议：

启用硬件安全密钥：如 YubiKey 或 Titan Security Key。相比短信或认证器App，硬件密钥能有效抵御中间人攻击和会话劫持。

定期审查可信设备与登录历史：LastPass 提供“活动会话”管理功能，用户应每月检查是否有陌生设备登录。

绝不通过邮件链接登录敏感账户：无论邮件看起来多么“官方”，都应手动输入官网地址或通过官方App访问。

对企业而言，风险更为复杂。许多公司允许员工使用个人 LastPass 账户存储工作凭证，一旦被攻破，可能导致内网沦陷。芦笛建议：

对接入企业系统的密码管理器实施 条件式访问策略（Conditional Access），例如仅允许特定IP段、设备合规状态或地理位置的登录；

在邮件网关中 提高含“重置”“验证”“紧急”等关键词邮件的隔离阈值，尤其当发件域虽合法但内容异常时；

推动 DMARC（Domain-based Message Authentication, Reporting & Conformance）策略强化，防止攻击者伪造企业域名发送钓鱼邮件。

技术科普：钓鱼为何屡禁不止？

要理解为何这类攻击难以根除，需了解现代钓鱼的技术内核。

传统钓鱼依赖伪造发件人地址（如 support@lastpass-security.com），但如今攻击者更多采用 “合法域名劫持” 或 “邮件自动化投递平台”。他们可能先入侵一家小型企业的邮件服务器，再以其名义群发钓鱼邮件——由于发件域真实存在且有良好信誉，很容易绕过基于信誉的垃圾邮件过滤器。

同时，钓鱼页面常部署在 临时云托管服务（如 Firebase、GitHub Pages）上，并通过多重 URL 跳转隐藏真实地址。部分页面甚至具备“一次性访问”特性：每个链接仅对特定用户有效，访问后立即失效，极大增加安全团队溯源难度。

而 通行密钥（Passkey）钓鱼 则利用了用户对新技术的认知盲区。攻击者搭建支持 WebAuthn 协议的钓鱼站点，诱使用户在该站点“注册”或“登录”Passkey。虽然无法直接获取密钥私钥，但可获得用于身份绑定的公钥凭证，结合其他信息仍可能实现账户接管。

“防御不能只靠技术，更要靠‘安全肌肉记忆’。”芦笛总结道，“看到‘紧急验证’先别点，接到‘客服电话’先挂断回拨官方号码——这些小动作，往往是守住数字资产的最后一道门。”

结语：信任不能外包，安全始于警惕

LastPass 并非首次遭遇针对性攻击。早在2022–2023年，该公司就因多次数据泄露陷入信任危机。如今，攻击者不再试图直接攻破其服务器，而是将矛头转向最脆弱的一环——用户本身。

这场攻防战提醒我们：在数字世界，便利与风险永远共生。密码管理器极大提升了我们的安全水位，但也让“主密码”成为皇冠上的明珠。保护它，不仅需要工具，更需要清醒的认知与克制的操作习惯。

正如芦笛所言：“没有绝对安全的系统，只有不断进化的防御意识。下一次你收到‘紧急通知’时，请先深呼吸——真正的安全，从不催促你立刻行动。”

本文信息综合自 SC Media 公开报道及公共互联网反网络钓鱼工作组技术分析，所有建议均基于当前行业最佳实践，不构成具体产品推荐。

编辑：芦笛（公共互联网反网络钓鱼工作组）