英国网络安全中心警告高风险人员防范加密通讯社工攻击

英国国家网络安全中心（NCSC）近日发布紧急警告，提醒政治人物、学者、记者和律师等高风险人员提高警惕，防范国家级黑客对Signal、WhatsApp和Facebook Messenger等加密通讯应用的社会工程学攻击。

国际威胁形势严峻

作为英国政府通信总部的一部分，NCSC指出，政府官员已成为来自中国、俄罗斯联邦安全局（FSB）以及伊朗伊斯兰革命卫队等国家级攻击者的主要目标。其中，FSB曾成功入侵了一名前军情六处负责人的加密邮件。

这一警告与谷歌威胁情报小组今年2月的报告相呼应。谷歌此前警告称，俄罗斯国家支持的黑客组织正在加大对Signal用户的攻击力度，特别是那些对俄罗斯情报部门具有价值的人员。

攻击手段多样化

黑客组织采用多种社会工程学技术，试图诱骗高风险人员将其Signal或其他通讯账户关联到由攻击者控制的设备上，从而能够读取目标收发的所有消息。

常见的攻击手段包括：诱骗受害者分享登录或账户恢复代码、说服用户加入群聊、冒充受害者认识的人、发送恶意链接或二维码等。

记者成为重点攻击目标

今年1月下旬，多名使用Signal处理敏感新闻的记者遭到钓鱼攻击。意大利调查记者斯特法尼亚·毛里兹在接受采访时表示，当她正在调查美国移民和海关执法局、以色列国防军以及意大利警方的活动时，收到了伪装成Signal更新的钓鱼消息。

"由于我在WikiLeaks工作了十多年，也处理过斯诺登文件，我深知记者是如何成为攻击目标的，"毛里兹说道。经核实，当时她的手机并没有可用的Signal更新。

几天后，毛里兹在另一部手机上又收到了第二条钓鱼消息，这次攻击者冒充了并不存在的"Signal安全支持聊天机器人"。

利用技术漏洞的精准攻击

俄罗斯攻击者特别善于利用Signal的"关联设备"功能发动攻击。该功能允许用户在多个设备上同时使用Signal。攻击者通过发送伪装成合法Signal消息的恶意二维码来实现这一目的。

一旦攻击成功，未来的消息将同时发送给受害者和黑客，使攻击者能够在不需要入侵受害者设备的情况下窃听安全对话。

防护建议与最佳实践

NCSC建议面临风险的人员采取以下防护措施：避免通过消息应用分享敏感信息（尽管这对某些用户可能较为困难）、在Signal中启用两步验证和通行密钥功能。

此外，还应定期检查设置中关联到消息账户的设备、审查讨论组成员身份并删除或验证任何不明参与者，以及使用阅后即焚消息功能。

历史攻击案例回顾

2022年曾有报道显示，与俄罗斯FSB关联的黑客组织（被称为Coldriver、Seaborgium、Callisto和Star Blizzard）成功入侵并泄露了一名前军情六处负责人及其他支持极端硬脱欧的右翼网络成员的邮件和文档。该黑客组织还对英国的记者、议员和非政府组织发动了攻击。

来自布里斯托大学、剑桥大学和爱丁堡大学的学者，包括已故的安全工程学教授罗斯·安德森，在2023年首次发表研究警告称，如果边检人员或恶意行为者能够接触到关联的桌面版Signal和WhatsApp，这些应用可能会被入侵，从而能够读取所有未来的消息。

去年，微软警告称，一个名为Storm-2372的俄罗斯关联组织正在WhatsApp、Signal和Microsoft Teams上攻击目标，先建立信任关系，然后通过钓鱼邮件向他们发送在线活动或会议邀请。

Q&A

Q1：Signal和WhatsApp等加密通讯软件为什么会被社会工程学攻击？

A：虽然这些应用本身具有强加密功能，但攻击者利用社会工程学技术绕过技术防护，通过欺骗用户分享登录代码、扫描恶意二维码或关联恶意设备等方式获取访问权限，从而能够读取加密消息。

Q2：哪些人群最容易成为这类攻击的目标？

A：政治人物、学者、记者、律师和政府官员等高风险人员是主要攻击目标。这些人员通常掌握敏感信息或具有较高的情报价值，因此成为中国、俄罗斯FSB、伊朗伊斯兰革命卫队等国家级攻击者的重点目标。

Q3：如何防范针对加密通讯软件的社会工程学攻击？

A：建议启用两步验证和通行密钥、定期检查关联设备列表、审查群组成员身份、使用阅后即焚功能、避免分享敏感信息，同时要警惕可疑的登录代码请求、恶意二维码和冒充熟人的消息。