导语：加密通讯应用一向被视为”安全天堂”，但 FBI 这次拉响了警报——俄罗斯情报机构正在大规模收割 Signal 和 WhatsApp 账户。这波攻击不靠破解加密，而是玩起了”社会工程学”，把目标玩弄于鼓掌之间。

一、攻击概况

1.1 事件背景

近日，美国网络安全基础设施安全局（CISA）和联邦调查局（FBI）联合发布紧急警告：与俄罗斯情报机构相关的威胁行为者正在针对加密通讯应用（CMAs）用户发起大规模钓鱼攻击。

这次攻击的主要目标是：

• 美国政府官员（现任和前任）
• 军事人员
• 政治人物
• 记者

FBI 主任 Kash Patel 在社交平台 X 上表示：”全球范围内，这一攻击行动已导致数千个个人账户被非法访问。“

1.2 攻击手法揭秘

这事儿吧，得从两边儿看——

攻击者并不试图破解 Signal 或 WhatsApp 的加密算法，而是通过社会工程学手段诱导用户主动”交出”账户访问权限。具体手法包括：

1. 冒充 “Signal Support”：发送伪装的帮助请求，诱导用户点击链接或扫描二维码
2. 索要验证码：要求用户提供 SMS 验证码或 PIN 码
3. 信任链攻击：利用受害者的身份向其联系人发起二次钓鱼

 # 版权：本文配图

二、攻击的两种”结局”

根据受害者的”配合程度”，攻击者采取了两种不同的操作策略：

2.1 提供验证码/PIN 码

如果受害者交出了验证码：

• 攻击者立即在另一台设备上恢复账户
• 受害者失去账户访问权限
• 攻击者可以监控新消息，并以受害者身份发送消息
• 但无法查看历史消息（因为平台加密保护）

2.2 点击链接或扫描二维码

如果受害者点击了钓鱼链接或扫描二维码：

• 攻击者的设备会被”链接”到受害者账户
• 攻击者可以访问所有消息，包括历史消息
• 受害者通常不会发现自己被入侵（因为仍能正常使用账户）
• 直到在设置中发现陌生设备

三、威胁行为者分析

虽然 FBI 和 CISA 没有公开点名具体攻击组织，但微软和 Google 威胁情报团队此前已将此类活动关联到以下俄罗斯背景的威胁组织：

德国和荷兰的网络安全机构此前也分别发布过类似预警。

四、防御建议

Signal 官方明确表示：

“Signal Support 永远不会通过应用内消息、短信或社交媒体主动联系你索要验证码或 PIN。如果有人索要任何 Signal 相关验证码，那就是诈骗。”

实用防护措施：

• 永远不要将 SMS 验证码或 PIN 码透露给任何人
• 对来自陌生联系人的意外消息保持警惕
• 点击链接前仔细检查 URL
• 定期检查”已链接设备”列表，移除可疑设备
• 启用双因素认证（如果平台支持）

五、紫队视角

红队这波操作我给满分——不费吹灰之力破解加密，而是直接”骗”用户交出钥匙。这正是社会工程学的精髓：人永远是最脆弱的环节。

蓝队这边也给出了漂亮回应：及时预警 + 清晰的用户教育。但说到底，防范钓鱼最终还是得靠用户的安全意识，技术手段再强也架不住”自己人”开门。

这事儿给我们的启示是：即使是端到端加密的”安全神器”，如果用户不小心，同样会成为透明的”鱼缸”。

参考资料：

• CISA 官方警报
• FBI 主任 Kash Patel 社交媒体声明
• 德国 BSI 预警
• 荷兰网络安全局预警

版权：本文配图

文章内容及配图版权归华盟网所有