德国机构警告针对政界、军方和记者的Signal钓鱼攻击

德国联邦宪法保护局（Bundesamt für Verfassungsschutz，简称BfV）和联邦信息安全局（BSI）联合发布安全提示，警告可能由国家支持的威胁行为者发起的一场恶意网络活动，该活动利用Signal即时通讯应用进行钓鱼攻击。

该机构表示，攻击重点锁定德国和欧洲的政治高层、军方、外交官员以及调查记者。未经授权访问信使账号不仅可以获取机密的私人通信，还可能危及整个网络。

值得注意的是，此次行动并未分发恶意软件或利用该隐私聚焦平台的安全漏洞，而是将其合法功能武器化，以秘密获取受害者的聊天记录和联系人列表。

攻击链如下：威胁行为者冒充“Signal支持”或名为“Signal Security ChatBot”的支持聊天机器人，主动联系潜在目标，要求其提供通过短信收到的PIN码或验证码，否则将面临数据丢失。

如果受害者配合，攻击者即可在其控制的设备和手机号码上注册该账号，进而获取受害者的个人资料、设置、联系人和屏蔽列表。虽然被窃取的PIN码无法直接访问过去的对话，但攻击者可以利用它捕获来信并冒充受害者发送信息。

随后，已失去账号访问权限的受害者会被冒充客服的聊天机器人指示注册新账号。

还有一种变体利用Signal的设备绑定功能，诱导受害者扫描二维码，从而让攻击者在其控制的设备上获取受害者账号，包括最近45天的消息。

在这种情况下，受害者仍能使用账号，却不知其聊天记录和联系人已被攻击者获取。

安全部门警告，虽然当前攻击聚焦于Signal，但同样的手法也可能扩展到WhatsApp，因为后者同样具备设备绑定和PIN两步验证功能。

成功获取信使账号不仅可以查看机密的个人通信，还可能通过群聊危及整个网络。

目前尚不清楚具体幕后组织，但类似攻击曾由多个与俄罗斯关联的威胁团体实施，包括Star Blizzard、UNC5792（亦称UAC‑0195）和UNC4221（亦称UAC‑0185），这些信息来源于微软和谷歌威胁情报团队的报告。

2025年12月，Gen Digital披露了代号为GhostPairing的另一行动，黑客利用WhatsApp的设备绑定功能劫持账号，以冒充用户或进行欺诈。

为防范此类威胁，建议用户不要与所谓的支持账号互动，也不要通过短信提供Signal PIN码。应启用注册锁以阻止未经授权的设备注册，并定期检查已绑定的设备列表，移除未知设备。

与此同时，挪威政府指责包括Salt Typhoon在内的中国支持的黑客组织利用易受攻击的网络设备入侵该国多家机构，并批评俄罗斯对军事目标的监视以及伊朗对异见人士的监控。

挪威警察安全局指出，中国情报机构试图招募挪威公民获取机密数据，这些来源随后被鼓励在招聘网站或LinkedIn上发布兼职职位，建立自己的“人源”网络。

该机构进一步警告，中国系统性地利用协同研发项目强化自身的安全和情报能力。值得注意的是，中国法律要求研究人员在发现软件漏洞后两天内向当局报告。

挪威警察安全局称，伊朗网络威胁行为者侵入异见人士的电子邮件、社交媒体账号和私人电脑，以收集其信息和网络情报。这些行为者具备先进能力，并将继续发展方法，对挪威个人开展更具针对性和侵扰性的行动。

此披露紧随CERT Polska的通报，该通报评估俄罗斯国家级黑客组织Static Tundra可能对30余座风能和光伏发电场、一家制造业公司以及为近50万用户供热的联合热电站发动协调攻击。受影响设施均使用FortiGate设备作为VPN集中器和防火墙，但其VPN接口暴露于互联网且未启用多因素认证。