英國網絡安全中心警告高風險人員防范加密通訊社工攻擊

英國國家網絡安全中心（NCSC）近日發布緊急警告，提醒政治人物、學者、記者和律師等高風險人員提高警惕，防范國家級黑客對Signal、WhatsApp和Facebook Messenger等加密通訊應用的社會工程學攻擊。

國際威脅形勢嚴峻

作為英國政府通信總部的一部分，NCSC指出，政府官員已成為來自中國、俄羅斯聯邦安全局（FSB）以及伊朗伊斯蘭革命衛隊等國家級攻擊者的主要目標。其中，FSB曾成功入侵了一名前軍情六處負責人的加密郵件。

這一警告與谷歌威脅情報小組今年2月的報告相呼應。谷歌此前警告稱，俄羅斯國家支持的黑客組織正在加大對Signal用戶的攻擊力度，特別是那些對俄羅斯情報部門具有價值的人員。

攻擊手段多樣化

黑客組織采用多種社會工程學技術，試圖誘騙高風險人員將其Signal或其他通訊賬戶關聯到由攻擊者控制的設備上，從而能夠讀取目標收發的所有消息。

常見的攻擊手段包括：誘騙受害者分享登錄或賬戶恢復代碼、說服用戶加入群聊、冒充受害者認識的人、發送惡意鏈接或二維碼等。

記者成為重點攻擊目標

今年1月下旬，多名使用Signal處理敏感新聞的記者遭到釣魚攻擊。意大利調查記者斯特法尼亞·毛里茲在接受采訪時表示，當她正在調查美國移民和海關執法局、以色列國防軍以及意大利警方的活動時，收到了偽裝成Signal更新的釣魚消息。

"由于我在WikiLeaks工作了十多年，也處理過斯諾登文件，我深知記者是如何成為攻擊目標的，"毛里茲說道。經核實，當時她的手機并沒有可用的Signal更新。

幾天后，毛里茲在另一部手機上又收到了第二條釣魚消息，這次攻擊者冒充了并不存在的"Signal安全支持聊天機器人"。

利用技術漏洞的精準攻擊

俄羅斯攻擊者特別善于利用Signal的"關聯設備"功能發動攻擊。該功能允許用戶在多個設備上同時使用Signal。攻擊者通過發送偽裝成合法Signal消息的惡意二維碼來實現這一目的。

一旦攻擊成功，未來的消息將同時發送給受害者和黑客，使攻擊者能夠在不需要入侵受害者設備的情況下竊聽安全對話。

防護建議與最佳實踐

NCSC建議面臨風險的人員采取以下防護措施：避免通過消息應用分享敏感信息（盡管這對某些用戶可能較為困難）、在Signal中啟用兩步驗證和通行密鑰功能。

此外，還應定期檢查設置中關聯到消息賬戶的設備、審查討論組成員身份并刪除或驗證任何不明參與者，以及使用閱后即焚消息功能。

歷史攻擊案例回顧

2022年曾有報道顯示，與俄羅斯FSB關聯的黑客組織（被稱為Coldriver、Seaborgium、Callisto和Star Blizzard）成功入侵并泄露了一名前軍情六處負責人及其他支持極端硬脫歐的右翼網絡成員的郵件和文檔。該黑客組織還對英國的記者、議員和非政府組織發動了攻擊。

來自布里斯托大學、劍橋大學和愛丁堡大學的學者，包括已故的安全工程學教授羅斯·安德森，在2023年首次發表研究警告稱，如果邊檢人員或惡意行為者能夠接觸到關聯的桌面版Signal和WhatsApp，這些應用可能會被入侵，從而能夠讀取所有未來的消息。

去年，微軟警告稱，一個名為Storm-2372的俄羅斯關聯組織正在WhatsApp、Signal和Microsoft Teams上攻擊目標，先建立信任關系，然后通過釣魚郵件向他們發送在線活動或會議邀請。

Q&A

Q1：Signal和WhatsApp等加密通訊軟件為什么會被社會工程學攻擊？

A：雖然這些應用本身具有強加密功能，但攻擊者利用社會工程學技術繞過技術防護，通過欺騙用戶分享登錄代碼、掃描惡意二維碼或關聯惡意設備等方式獲取訪問權限，從而能夠讀取加密消息。

Q2：哪些人群最容易成為這類攻擊的目標？

A：政治人物、學者、記者、律師和政府官員等高風險人員是主要攻擊目標。這些人員通常掌握敏感信息或具有較高的情報價值，因此成為中國、俄羅斯FSB、伊朗伊斯蘭革命衛隊等國家級攻擊者的重點目標。

Q3：如何防范針對加密通訊軟件的社會工程學攻擊？

A：建議啟用兩步驗證和通行密鑰、定期檢查關聯設備列表、審查群組成員身份、使用閱后即焚功能、避免分享敏感信息，同時要警惕可疑的登錄代碼請求、惡意二維碼和冒充熟人的消息。