北京
加密通訊工具Signal正成為俄羅斯情報(bào)機(jī)構(gòu)的重點(diǎn)狩獵場。FBI與CISA上周聯(lián)合發(fā)布警報(bào),披露一場針對商業(yè)即時通訊應(yīng)用的大規(guī)模間諜行動——Signal被點(diǎn)名,但其他同類應(yīng)用同樣危險(xiǎn)。
攻擊對象名單讀起來像華盛頓通訊錄:現(xiàn)任及前任政府官員、軍方人員、政治人物、記者。荷蘭當(dāng)局兩周前已發(fā)出類似警告,稱俄羅斯黑客將Signal和WhatsApp視為"高價(jià)值目標(biāo)"。
這次攻擊不玩技術(shù)破解,專攻人性弱點(diǎn)。黑客偽裝成Signal官方客服賬號發(fā)送釣魚信息,話術(shù)精準(zhǔn)定制。「如果用戶執(zhí)行任何請求操作,他們會在不知情的情況下向攻擊者授予未授權(quán)訪問權(quán)限」——警報(bào)原文如此描述。受害者要么把攻擊者的設(shè)備添加為"關(guān)聯(lián)設(shè)備",要么直接交出完整賬號控制權(quán)。
Signal以端到端加密著稱,但這層防護(hù)在用戶主動交出驗(yàn)證碼時形同虛設(shè)。一位前情報(bào)官員向TechRadar Pro透露,這類社工攻擊的成功率"高得令人不安",尤其當(dāng)目標(biāo)處于高壓工作環(huán)境、習(xí)慣快速處理消息時。
Signal官方尚未就此事單獨(dú)回應(yīng)。目前唯一的防御建議是:官方永遠(yuǎn)不會私信索要驗(yàn)證碼或PIN碼——這條常識,正在華盛頓被反復(fù)重申。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
