LostPass」でとられている攻撃手法は、細工を施した悪質なWebサイトへユーザーを誘導し、攻撃コード“lostpass.js”を展開。もしユーザーが「LastPass」をインストールしていれば、“期限切れのため、再ログインが必要である”という旨の通知を表示し、「LastPass」からログアウトさせる。そのあと、マスターパスワードを詐取するための偽のログイン画面を表示して、パスワードを騙し取るというものだ。