江苏
关键词
密钥
FBI 和 CISA 警告称,一场针对 Signal 用户、与俄罗斯情报机构有关的钓鱼活动已演变为窃取 Signal Backup Recovery Keys,使攻击者能够访问受害者的历史消息。
这份更新的公共服务公告是对 2026 年 3 月一份警告的更新,该警告称威胁行为者通过钓鱼活动针对商业消息应用(尤其是 Signal)的用户,目的是劫持账户而非破坏端到端加密。
FBI 今天发布的一份 PSA 警告称:“RIS 网络威胁行为者在更新的钓鱼消息中继续冒充自动化的 CMA 支持账户,但他们的策略已演变为试图诱骗受害者提供 Backup Recovery Keys。”
据 FBI 称,该活动继续针对高情报价值个人,包括现任和前任美国及国际政府官员、军事人员、政治人物、记者以及位于乌克兰的关键官员。
这些机构将此次活动归因于俄罗斯情报机构(RIS),包括嵌入俄罗斯联邦安全局(FSB)边防部队的官员以及其他代表俄罗斯军方行动的行为者。该活动被公开追踪为 UNC5792 和 UNC4221。
针对 Signal 备份的新钓鱼策略
虽然最初的警告侧重于试图窃取验证码或账户 PIN,或诱骗用户将攻击者控制的设备链接到其 Signal 账户的钓鱼消息,但更新后的警报称攻击者已改进了他们的策略。
FBI 表示,威胁行为者继续冒充 Signal 支持团队,发送钓鱼消息,虚假声称 Signal 在据称来自伊朗和后苏联国家黑客的一波攻击之后,正在引入强制性双因素验证。
初始钓鱼消息写道:“最近,尝试通过将第三方设备连接到账户来入侵我们通讯工具用户的行为变得更加频繁。与美国政府和欧洲合作伙伴联合进行的一项调查显示,对账户的攻击是由来自伊朗和后苏联国家的黑客实施的。为此,Signal 更新了服务条款和隐私政策,并为用户引入了强制性双因素验证。为了不丢失您的消息和媒体,请设置您的 Signal Backup(设置 -> 备份 -> 启用备份 -> 查看恢复密钥 -> 复制到剪贴板 -> 下一步 -> 输入恢复密钥 -> 下一步 -> 继续 -> 选择您的备份计划)。点击弹出窗口中的‘接受’按钮,并关注我们通讯工具的安全更新。”
当目标按照这些说明操作时,他们的 Signal 消息会使用 Signal 的 Secure Backups 功能进行备份,该功能将加密的对话副本存储在 Signal 的云服务器上。
数据使用上述步骤中创建的恢复密钥进行端到端加密,且绝不应提供给任何其他人,因为任何拥有该密钥的人都可以在自己的设备上使用它来恢复备份数据。
威胁行为者随后发送第二条钓鱼消息,仍冒充 Signal 支持,警告您的数据因同步问题面临丢失风险。
第二条 Signal 消息写道:“您的 Signal 账户数据(消息和媒体)因同步问题面临永久丢失的风险。”
然后,威胁行为者提示您进入备份设置,将恢复密钥复制到剪贴板,并粘贴到消息中,以防止存储的数据丢失。
然而,一旦您提供了恢复密钥,他们就可以将备份恢复到自己的设备上,并访问受害者的历史消息,包括私人和群组对话。
更新后的警告还提醒用户注意一个可能在账户被入侵后被忽略的恢复场景。
FBI 警告称,如果攻击者获取了用户的 Backup Recovery Key,使用相同电话号码创建新的 Signal 账户并不会使旧的被盗密钥失效。
相反,用户必须通过 Signal 的备份设置生成一个新的 Backup Recovery Key,这会使之前的密钥在未来的备份下载中失效。
然而,这些机构警告称,生成新的恢复密钥并不会阻止攻击者访问他们已经使用被盗密钥下载的备份。
更新后的警告提醒用户,合法的消息应用支持团队仅通过官方公司电子邮件地址进行沟通,绝不会在应用内请求验证码,也不会发送要求用户验证或恢复账户的链接。
任何认为自己已成为该活动受害者的人,都被鼓励向 FBI 的互联网犯罪投诉中心(IC3)、当地 FBI 外勤办事处或 CISA 报告该事件。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
