美国FBI和CISA周五联合发声,直指俄罗斯情报机构关联的威胁行为者正在大规模钓鱼,目标直指Signal和WhatsApp这类商用即时通讯应用。被盯上的不是普通用户,而是那些情报价值极高的人:现任和前任美国政府官员、军方人员、政治人物、记者。FBI局长Kash Patel直接在X上放话,这波攻击已经全球搞定几千个账号。
黑客拿到账号后,能直接看消息历史、通讯录,还能冒充受害者发消息。最狠的是,他们会利用这个“可信身份”继续钓下一个目标。整个过程不靠破解平台加密,也不利用什么0day漏洞,纯靠社会工程学。简单讲,就是骗你自己把门打开。
攻击套路已经很清晰。冒充“Signal Support”这种根本不存在的官方支持,主动找上门,要么发链接让你点,要么直接要你的PIN码或验证码。两种玩法后果不一样。傻乎乎把验证码给了对方?账号直接被抢走,过去消息黑客看不到,但新消息他能实时监控,还能随便发。点链接或扫二维码?那就更惨,对方直接把自己的设备绑定到你的账号上,历史消息全暴露,你还照样能用,除非你手动去设置里踢掉陌生设备。
法国国家网络安全局ANSSI旗下的C4也同步拉响警报,说针对政府官员、记者、企业高管的即时通讯账号攻击激增。德国和荷兰的网络安全机构此前就点名过类似手法。多家机构异口同声:别信任何突然冒出来的“支持”,更别把验证码给任何人。
Signal官方本月初就在X上反复强调:我们从来不会通过应用内消息、短信或社交媒体主动联系你索要验证码或PIN。谁问你代码,谁就是骗子。平台本身加密没问题,问题出在人身上。
这几年俄罗斯关联的APT团伙在西方社交平台和通讯工具上动作频频。微软和谷歌威胁情报团队早就把这类活动归到Star Blizzard、UNC5792(也叫UAC-0195)、UNC4221(UAC-0185)这些集群名下。虽然FBI和CISA这次没直接点名,但明眼人都看得出指向一致。
想想看,一条假的“Signal支持”消息,几秒钟就能让高价值目标的通讯录和聊天记录全泄露。受害者还在正常用手机,对方却像鬼魂一样挂在账号上,随时看、随时发。二次钓鱼效率直接拉满。
防护说白了就几条铁律:验证码绝不给任何人;陌生链接别乱点;收到莫名其妙的“官方”消息,先去应用官网核实;每周抽一分钟进设置看“已链接设备”,有鬼就删。做不到这几点,再强的端到端加密也救不了你。
加密货币圈这两年也被类似攻击盯得死死的。不少项目方、KOL的Telegram和Discord账号被劫持后,直接用来发假空投、假签名链接,割了一波又一波韭菜。Signal和WhatsApp相对小众,但高价值目标多,一旦沦陷,情报外泄的杀伤力远超钱包被盗。
当前市场还在震荡,BTC报$70,743(24h +0.97%),ETH报$2,156(24h +0.45%),主流币涨跌幅都不大。可安全问题从来不等人。黑客不关心你持仓多少,他们只看你账号背后连着谁。
这事提醒所有人,别把通讯工具当保险箱。密钥再长,人脑再聪明,碰上会演戏的社会工程学,一样一秒破防。保持怀疑,少点信任,活得久一点。