美FBI與CISA聯(lián)合警示：俄情報機(jī)構(gòu)大規(guī)模釣魚攻擊即時通訊應(yīng)用用戶

美國聯(lián)邦調(diào)查局（FBI）和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）當(dāng)?shù)貢r間3月20日發(fā)布聯(lián)合公共安全通告稱，與俄羅斯情報機(jī)構(gòu)有關(guān)聯(lián)的黑客正通過一場全球性網(wǎng)絡(luò)釣魚行動，入侵?jǐn)?shù)以千計用戶的商業(yè)即時通訊應(yīng)用賬戶，其中包括Signal等加密通訊工具。 通告指出，此輪攻擊的重點目標(biāo)為現(xiàn)任及前任美國政府官員、政治人物、軍方人員以及記者等高價值人群。

美方此次警示緊隨歐洲多國此前發(fā)出的類似預(yù)警之后發(fā)布。 荷蘭方面上周警告稱，俄方黑客正“開展大規(guī)模全球行動”，試圖接管WhatsApp和Signal用戶的賬戶，而德國在今年2月也曾發(fā)出過類似提醒。 FBI與CISA表示，美國此次通告與荷德兩國先前的風(fēng)險提示相呼應(yīng)，反映出針對加密通訊應(yīng)用用戶的攻勢正在持續(xù)升級。

通告強(qiáng)調(diào)，俄方黑客目前并未攻破即時通訊應(yīng)用本身的端到端加密機(jī)制，而是通過社會工程手段誘騙用戶交出訪問權(quán)限。 具體做法包括，攻擊者偽裝成Signal客服或技術(shù)支持人員，向受害者發(fā)送消息，誘導(dǎo)其點擊惡意鏈接或主動提供短信驗證碼、賬戶PIN碼等敏感信息，從而實現(xiàn)賬號接管。

一旦成功控制目標(biāo)賬戶，黑客即可查看受害者的歷史和實時消息、聯(lián)系人列表，并以受害者身份繼續(xù)向其聯(lián)系人發(fā)送消息，擴(kuò)大釣魚攻擊范圍。 通告指出，現(xiàn)有報告顯示，威脅行為者當(dāng)前主要集中針對Signal用戶實施相關(guān)手法，但類似策略同樣可遷移至其他商業(yè)即時通訊應(yīng)用，潛在風(fēng)險范圍并不限于單一平臺。

FBI和CISA在通告中呼吁用戶提高個人網(wǎng)絡(luò)安全意識，特別是警惕各類社會工程攻擊，以降低賬戶被攻陷的風(fēng)險。 兩家機(jī)構(gòu)表示，通過加強(qiáng)賬號安全設(shè)置、謹(jǐn)慎核驗所謂“客服”或“技術(shù)支持”的身份，并對索取驗證碼、PIN碼等行為保持高度警惕，用戶可以在一定程度上削弱黑客當(dāng)前戰(zhàn)術(shù)、技術(shù)和程序的有效性。

據(jù)報道，此次俄方行動只是近年來各類威脅主體試圖繞過即時通訊應(yīng)用安全保護(hù)機(jī)制的最新一例。 早在去年11月，CISA就曾發(fā)布過關(guān)于間諜軟件攻擊通訊應(yīng)用的警示，呼吁用戶關(guān)注相關(guān)防護(hù)建議。 在部分案例中，俄方情報背景同樣有所體現(xiàn)：Google威脅情報小組去年就曾披露，俄羅斯相關(guān)威脅團(tuán)伙在烏克蘭戰(zhàn)場背景下針對當(dāng)?shù)豐ignal用戶發(fā)動攻擊。

Google方面當(dāng)時指出，針對Signal的攻擊手法預(yù)計在短期內(nèi)仍將日益普及，并有可能擴(kuò)散至更多威脅行為者以及烏克蘭以外的地區(qū)。 當(dāng)前FBI和CISA的聯(lián)合通告被視為對這一趨勢的進(jìn)一步印證，也表明圍繞加密通訊工具的攻防博弈仍在持續(xù)升級。

為應(yīng)對這一威脅，美國網(wǎng)絡(luò)安全主管部門建議各類即時通訊應(yīng)用用戶盡快審查自身賬號安全措施，包括啟用更強(qiáng)的身份驗證、定期檢查可疑登錄和設(shè)備授權(quán)記錄、及時更新應(yīng)用版本，并通過官方渠道獲取安全提示信息。 專家提醒，任何要求用戶在非官方頁面輸入驗證碼、PIN碼或其他敏感信息的請求都應(yīng)被視為高度可疑，用戶應(yīng)立即通過應(yīng)用官方支持渠道進(jìn)行核實。

在加密通訊工具已成為政府官員、記者和民間社會組織日常溝通重要渠道的背景下，此次通告被視為對全球用戶的再度“敲鐘”。 美國及歐洲多國主管機(jī)構(gòu)均警告，盡管端到端加密機(jī)制在技術(shù)層面仍然有效，但一旦用戶自身安全意識薄弱，“人”的環(huán)節(jié)依然可能成為攻擊鏈條中的關(guān)鍵薄弱點。