打开网易新闻 查看精彩图片

加密通讯软件Signal正成为俄罗斯情报部门的钓鱼新战场。FBI与CISA上周联合发布警告,称俄情报机构(RIS)正针对商业通讯应用发起大规模间谍行动,Signal被点名,其他同类应用也难幸免。

目标名单相当精准:现任及前任美国政府官员、军方人员、政治人物和记者。攻击者不搞技术破解那套——Signal的端到端加密依然完好。他们玩的是心理战:伪装成Signal官方客服,发钓鱼短信诱导用户点击链接或交出验证码。

打开网易新闻 查看精彩图片

「一旦用户照做,要么把攻击者设备加为关联设备,要么直接交出账户控制权。」PSA原文写道。换句话说,用户亲手把钥匙递给了对方。

荷兰当局两周前已披露类似手法。当时攻击者冒充Signal技术支持,向目标发送「设备验证」短信。这次FBI的警告范围更广,涉及全球数千账户。Signal官方尚未单独回应,但其安全机制本身未被攻破——漏洞出在用户端。

一位收到过类似短信的前国务院官员向TechCrunch描述:短信语气「完美模仿了Signal的冷淡风格」,差点就点了链接。