美國聯邦調查局（FBI）和美國網絡安全與基礎設施安全局（CISA）警告稱：俄羅斯黑客正在通過網絡釣魚攻擊 Signal 用戶，誘使其提供可解鎖消息存檔的備份恢復密鑰。

要點：

• 與俄羅斯情報部門有關的黑客正在尋求 Signal 的備份恢復密鑰，而不僅僅是代碼或 PIN。

• 被盜的密鑰可以讓攻擊者恢復備份、讀取私人聊天和羣組聊天，並將訪問權限保持在與同一號碼綁定的狀態。

• 該活動濫用社會工程學以及合法功能，而非 Signal 的加密。

Signal 黑客

更新後的通告於 6 月 26 日發佈稱：與俄羅斯情報服務相關的行爲者正冒充自動化支持賬號，促使受害者暴露 Signal 恢復密鑰。

該公告點名 UNC5792 和 UNC4221（而 3 月的警告中並未出現），並將該活動與俄羅斯情報機構聯繫起來，包括嵌入 FSB 邊防部隊中的 FSB 官員。

此次行動的目標是各機構所稱屬於“高情報價值”的人羣，包括現任和前任美國及國際官員、軍方人員、政治人物、記者以及烏克蘭的官員。

早期版本會向受害者索取驗證碼和賬戶 PIN，或使用虛假的羣組邀請鏈接，將攻擊者的設備連接到該賬戶。

較新版本告訴用戶啓用 Signal 備份，打開恢復密鑰界面，然後將密鑰粘貼到聊天中。

另請閱讀：Claude Fable 可能於 5 月 5 日迴歸，因華盛頓緩和與 Anthropic 的對峙

美國聯邦調查局警告

美國聯邦調查局表示，其中一條樣本消息被包裝成強制性的雙因素認證推送，而另一條則聲稱需要緊急恢復數據以防止消息丟失。

如果目標分享密鑰，攻擊者就可以恢復備份、讀取私人和羣組消息歷史，並接管該賬戶。即使受害者更換手機或使用同一號碼創建新賬戶，該密鑰仍可能保持有效。

在 Signal 設置中生成新的密鑰會使舊密鑰在未來備份下載中失效，但不會撤銷任何已訪問過的備份。

該策略並不能破解 Signal 的加密或應用本身。它之所以奏效，是因爲受害者被說服交出用於保護其備份的憑據。

美國國務院“正義獎勵”項目正爲提供有關 UNC5792 的信息提供最高 1000 萬美元的獎勵。

谷歌威脅情報小組在 2025 年初記錄了 UNC5792 利用 Signal 的已連接設備功能進行濫用；在研究人員看到針對 WhatsApp 和 Telegram 的類似手法之前。

接下來閱讀：PUMP 上漲 12%，而協議數據警告反彈可能脆弱