图像来源,Getty Images
加密通讯软体Signal警告用户要留意诈骗迹象,此前,荷兰情报部门表示,这款安全通讯软体的高级用户正成为黑客的目标。
周一,荷兰网路安全机构表示,一场由俄罗斯支持的行动已针对Signal及WhatsApp的个别用户。
他们指出,黑客假冒支援人员,试图取得可让他们存取帐户或劫持连结装置的相关资讯——这埸“全球性”的行动针对目标包括荷兰官员、军事人员与公务员。
Signal表示其系统依然安全,但正“非常重视”看待相关活动的报告。
此次行动是由荷兰情报机构军事情报与安全局(MIVD)及一般情报与安全局(AIVD)所识别出来的。
它们在新闻稿中表示,这场“大规模的全球性网络行动”似乎针对俄罗斯政府感兴趣的对象,例如政府官员与记者。
“并非Signal或WhatsApp整体遭到入侵,而是个别人士的帐户成为攻击目标。”AIVD局长西蒙娜·史密特(Simone Smit)说。
Signal在X上发布多则贴文重申,其系统“没有遭到入侵,并依然保持稳健”。
“这些攻击是透过高度复杂的网路钓鱼行动实施,旨在诱骗用户分享资讯——包括简讯验证码及/或Signal PIN——从而取得帐户存取权。”Signal表示。
所谓的网路钓鱼攻击,是指犯罪者试图说服用户交出密码、金钱或个人身分资讯——往往是透过冒充支援人员、朋友、家人或名人。
在此次由荷兰情报机构揭露的攻击中,黑客假冒“Signal支援”试图让人提供帐户相关资料。
跳过 X 帖子允许X内容
此文包含X提供的内容。由于这些内容会使用曲奇或小甜饼等科技,我们在加载任何内容前会寻求您的认可。 您可能在给与许可前愿意阅读X小甜饼政策和隐私政策。 希望阅读上述内容,请点击“接受并继续”。
Accept and continue告知: BBC 不对外来网站内容负责
结尾 X 帖子
在注册Signal帐户时,用户会被要求设定一组PIN码以提升安全性——Signal强调,这组PIN绝对不应与任何人共享。
该公司补充说,用户也不应分享发送到其手机号码的验证码。
WhatsApp也给出了类似的建议,表示用户不应透露用于保护帐户的六位数字验证码。
该公司并指出,用户还可以采取其他额外措施来提升帐户安全,包括封锁陌生号码的讯息或通话。
“人为漏洞”
Signal强调,尽管平台已具备相关防护措施,但“用户的警觉性”仍是对抗网路钓鱼攻击的最佳方式。
“安全功能正被反过来武器化,用来对付用户,”资安公司Huntress的网络安全顾问穆罕默德·雅哈亚·帕特尔(Muhammad Yahya Patel)表示。
他告诉BBC:“过去黑客寻找的是程式码中的漏洞。现在,他们正在寻找人类与应用程式互动方式中的人为漏洞。”
他指出,一些强调方便性的功能——例如允许用户透过QR code在其他装置登入帐户,或透过简讯验证码找回帐户——如今都成了“犯罪者使用的主要攻击途径”。
帕特尔呼吁,用户应定期在“设定”中检查与帐户连结的装置,确保没有陌生人能存取其讯息。
他同时提醒,用户还应该注意,使用具备端到端加密(E2EE)的应用程式,并不意味着“完全安全”。
图像加注文字,用户可在应用程式的设定中限制谁能查看其大头照、即时位置,或将其加入群组。
端到端加密——Signal和WhatsApp用于保护讯息的技术——意味着只有讯息的发送者和接收者才能阅读内容。
“但如果帐户或装置遭到入侵,这类加密技术也无法提供保护。”帕特尔表示。
荷兰情报机构相信,俄罗斯之所以锁定Signal,是因为该应用程式以高度安全著称,广受需要安全通讯的官员使用。
但他们指出,这也同时使该应用程式成了“恶意行为者的理想目标”,企图截取敏感资讯。
“尽管这些应用程式提供端到端加密,但像Signal和WhatsApp这类应用程式,不应被用来传送机密、保密或敏感资讯。”MIVD局长彼得·雷辛克(Peter Reesink)表示。
英国皇家联合军种研究所的网络研究员皮娅·胡施博士(Dr Pia Hüsch)指出,“许多网路空间中的恶意行为者正在利用这些应用程式。”
但她也补充说,这次使用的“传统钓鱼手法”可能会让部分人感到意外。
“我们有时会认为国家级黑客都非常高端,拥有各种能力与华丽工具……但这其实是非常基本的入侵方式。”许许博士说。
