LastPass遭CryptoChameleon钓鱼攻击

　　10月25日，据科技媒体 bleepingcomputer 报道，知名密码管理器 LastPass 已向其用户发出安全警告，提醒警惕由黑客组织 CryptoChameleon 发起的一轮新型网络钓鱼攻击。该攻击最早可追溯至10月中旬，手法极具迷惑性。
　　攻击者利用了 LastPass 的“遗产继承”（Emergency Access）功能，向用户发送邮件，谎称其某位家人已上传死亡证明，并申请访问其密码库。为增强欺骗性，邮件中还附带伪造的代理 ID 号，并诱导用户“若本人仍在世，请点击链接取消该请求”，从而将受害者引入预设的钓鱼陷阱。

lastpass

　　LastPass遭CryptoChameleon钓鱼攻击插图
　　一旦用户点击邮件中的链接，将被重定向至一个高度仿冒的虚假网站 lastpassrecovery[.]com，该页面与 LastPass 官方登录界面几乎无异。用户在输入主密码后，凭据即被攻击者窃取，导致整个密码库面临泄露风险。
　　值得注意的是，LastPass 透露，部分案例中攻击者还会主动致电受害者，伪装成官方客服人员，通过电话引导用户在钓鱼网站上提交凭证，形成“邮件+电话”的双重欺诈组合。
　　与今年4月该组织发起的攻击相比，本轮攻击不仅波及范围更广，技术手段也更为成熟。其中一个关键升级在于，攻击目标已从传统密码扩展至“通行密钥”（Passkeys）。LastPass 发现，CryptoChameleon 注册了多个专门针对通行密钥的钓鱼域名，如 mypasskey[.]info 与 passkeysetup[.]com，显示黑客已开始瞄准这种被视为更安全的无密码验证技术。
　　据 bleepingcomputer 介绍，CryptoChameleon（亦被标记为 UNC5356）是一个以经济利益为驱动的专业威胁组织，擅长利用钓鱼工具包窃取加密货币账户。该组织此前曾伪造 Okta、Gmail、iCloud 等服务的登录页面，成功攻击过币安、Coinbase 等多家加密货币平台的用户。