FBI 和 CISA 警告,俄羅斯駭客正對 Signal 使用者發動網路釣魚,試圖取得可以解鎖訊息封存的備份復原金鑰。
重點摘要:
- 與俄羅斯情報部門有關的駭客鎖定的是 Signal 備份復原金鑰,而不只是驗證碼或 PIN 碼。
- 一旦金鑰遭竊,攻擊者就能還原備份、閱讀私人與群組聊天內容,並維持與同一門號綁定的存取權。
- 這波行動濫用的是社交工程與合法功能,而不是攻破 Signal 的加密機制。
Signal 駭客行動
更新後的警示於 6 月 26 日發布,指出與俄羅斯情報機構有關聯的行動者,假冒自動化客服帳號,誘騙目標洩露 Signal 復原金鑰。
通知中點名 UNC5792 和 UNC4221 這兩個先前 3 月警告裡未出現的編號,並將這些行動與俄羅斯情報單位連結起來,其中包括派駐在俄羅斯聯邦安全局(FSB)邊防軍中的 FSB 軍官。
這波攻擊鎖定被機構形容為「具有高情報價值」的人士,包括美國與其他國家的現任與前任官員、軍事人員、政治人物、記者,以及烏克蘭官員。
早期版本的詐騙訊息,會要求目標提供驗證碼和帳號 PIN 碼,或是利用假的群組邀請連結,將攻擊者的裝置連接到受害者帳號。
更新版手法則是指示使用者啟用 Signal 備份、打開復原金鑰畫面,並將金鑰貼到聊天視窗中。
延伸閱讀: Claude Fable 5 May Return As Washington Softens Anthropic Standoff
FBI 警告
FBI 表示,其中一則範例訊息被包裝成強制啟用雙重驗證的訊息,另一則則聲稱必須立即進行資料復原,否則訊息將會遺失。
若目標分享了金鑰,攻擊者就能還原備份、閱讀私人與群組訊息紀錄,並完全接管帳號。即使受害者更換手機,或使用同一門號建立新帳號,該金鑰仍可能持續有效。
在 Signal 設定中產生新金鑰,可讓舊金鑰無法再用於未來的備份下載,但無法撤銷攻擊者已經取用過的備份內容。
這種手法並沒有破解 Signal 的加密或應用程式本身。它之所以奏效,是因為受害者被說服,親手交出保護備份的憑證。
美國國務院 的「正義獎勵」(Rewards for Justice)計畫,對於提供 UNC5792 情資者最高可提供 1,000 萬美元獎金。
Google 威脅情報小組(Google Threat Intelligence Group) 曾記錄到 UNC5792 在 2025 年初濫用 Signal 的連結裝置功能,之後研究人員又觀察到類似手法被用在 WhatsApp 與 Telegram 上。
下一篇閱讀: PUMP Gains 12% While Protocol Data Warns The Rebound May Be Fragile