FBI 和 CISA 警告,俄羅斯黑客正透過網釣,向 Signal 用戶詐騙備份復原金鑰,以解鎖訊息封存。
重點整理:
- 與俄羅斯情報機構有關的黑客尋找的是 Signal 備份復原金鑰,而不只是驗證碼或 PIN 碼。
- 一旦金鑰遭竊,攻擊者就能還原備份、閱讀私人與群組聊天,並持續把存取權綁在同一個電話號碼上。
- 這波攻擊是濫用社交工程與合法功能,而非攻破 Signal 的加密機制。
Signal 攻擊行動
這份於 6 月 26 日發布的更新警示指出,與俄羅斯情報機構相關的行動者假扮為自動化技術支援帳號,誘使目標洩露 Signal 復原金鑰。
通知中點名了 UNC5792 和 UNC4221,這兩個名稱並未出現在 3 月的警告內,並將這些行動連結到俄羅斯情報單位,其中包括與俄羅斯聯邦安全局(FSB)邊防軍共同執勤的 FSB 官員。
此攻擊行動鎖定的是被機構形容為「具高度情報價值」的人士,包括現任與前任美國及國際官員、軍事人員、政治人物、記者,以及烏克蘭官員。
較早期的版本會要求目標提供驗證碼與帳戶 PIN 碼,或利用假的群組邀請連結,把攻擊者的裝置連結到受害者帳戶。
更新後的手法則是指示用戶啟用 Signal 備份,打開復原金鑰畫面,然後將該金鑰貼到聊天中。
延伸閱讀: Claude Fable 5 May Return As Washington Softens Anthropic Standoff
FBI 警告內容
FBI 表示,其中一則範例訊息宣稱這是強制性的雙重驗證(2FA)上線流程,另一則則謊稱必須緊急進行資料復原,以避免訊息遺失。
若目標分享了金鑰,攻擊者就能還原備份、閱讀私人與群組訊息紀錄,並接管帳戶。即使受害者更換手機,或用同一電話號碼建立新帳戶,該金鑰仍可能持續有效。
在 Signal 設定中重新產生新的金鑰,會使舊金鑰在未來的備份下載中失效,但無法撤銷攻擊者已經存取過的備份。
這種手法並未擊破 Signal 的加密或應用本身;之所以奏效,是因為受害者被說服主動交出保護其備份的憑證。
美國國務院的「正義獎賞」(Rewards for Justice)計劃,正為與 UNC5792 有關的情報提供最高 1,000 萬美元懸賞。
**Google 威脅情報小組(Google Threat Intelligence Group)**記錄到 UNC5792 在 2025 年初濫用 Signal 的「已連結裝置」功能,之後研究人員又看到類似的技術手法被用來鎖定 WhatsApp 和 Telegram。
下一篇閱讀: PUMP Gains 12% While Protocol Data Warns The Rebound May Be Fragile