德国机构警告针对政界人士、军方和记者的 Signal 网络钓鱼
Source: The Hacker News
Ravie Lakshmanan
2026年2月7日 – 威胁情报 / 网络间谍
Overview
德国联邦宪法保护局(Bundesamt für Verfassungsschutz – BfV)和联邦信息安全局(BSI)发布了联合警示,警告一种可能由国家支持的威胁行为者发起的恶意网络活动。该活动通过 Signal 消息应用对德国及全欧洲的政治、高层军方、外交以及调查记者进行钓鱼攻击。
“The focus is on high‑ranking targets in politics, the military, and diplomacy, as well as investigative journalists in Germany and Europe,” the agencies said. “Unauthorized access to messenger accounts not only allows access to confidential private communications but also potentially compromises entire networks.”
— Verfassungsschutz advisory (Feb 6 2026)
这个活动有什么不同?
- 未交付恶意软件,也未利用 Signal 的漏洞。
- 攻击者利用合法的 Signal 功能来获取对受害者聊天记录和联系人列表的隐蔽访问。
攻击链
- 冒充 – 威胁行为者伪装成 “Signal Support” 或名为 Signal Security ChatBot 的聊天机器人,联系潜在受害者。
- 社会工程 – 他们要求提供 Signal PIN(或通过短信收到的验证码),并威胁如果不配合将导致数据丢失。
- 账户接管 – 如果受害者配合,攻击者将在其控制的设备上注册该账户,获取个人资料、设置、联系人和屏蔽列表的访问权限。
- 被窃取的 PIN 不会透露过去的对话,但它允许攻击者捕获收到的消息并以 受害者身份 发送消息。
- 进一步操控 – 被攻陷的用户因被锁定原账户,仍由假冒的支持聊天机器人指示去注册一个 新 账户。
替代感染流程
- 攻击者利用 Signal 的 设备链接 功能。
- 受害者被诱导扫描恶意二维码,从而将攻击者的设备链接到受害者的账户。
- 受害者仍然可以访问该账户,却不知道攻击者可以读取过去 45 天 的消息并监控正在进行的聊天。
更广泛的影响
- 虽然当前重点是 Signal,但同样的技术也可以用于 WhatsApp,它同样支持设备链接和基于 PIN 的两步验证。
- 成功获取聊天应用账户后,可能会暴露 群聊,从而危及整个网络。
归属
发起此活动的行为者仍未确定,但其手法与多个俄罗斯阵营的威胁组织使用的手段相似:
- Star Blizzard – The Hacker News, Jan 2025
- UNC5792 (aka UAC‑0195) and UNC4221 (aka UAC‑0185) – The Hacker News, Feb 2025
在2025年12月,Gen Digital 报告了一起相关的活动,名为 GhostPairing,网络犯罪分子利用 WhatsApp 的设备链接功能劫持账户并冒充用户。
Details: The Hacker News, Dec 2025
建议
| 行动 | 原因 |
|---|---|
| 永不与“Signal Support”账户互动或通过短信/电子邮件提供您的 PIN。 | PIN 是劫持您账户的关键。 |
| 启用注册锁定(Signal Settings → Privacy)。 | 防止他人在新设备上注册您的电话号码。 |
| 定期检查已链接的设备并移除任何您不认识的设备。 | 阻止攻击者保持持续访问。 |
| 教育高风险用户(政治家、记者、外交官)了解此钓鱼向量。 | 降低社会工程攻击成功的可能性。 |
相关地缘政治背景
挪威警察安全局 (PST) 最近指控包括 Salt Typhoon 在内的中国支持的黑客组织通过利用易受攻击的网络设备,危害挪威组织。PST 还警告称,俄罗斯正密切监视军事目标和盟友,而伊朗则在监视持不同政见者。
“中国情报机构试图招募挪威公民以获取机密数据,鼓励他们通过招聘网站广告或 LinkedIn 联系方式建立‘人源’网络。”
— PST 威胁简报
图片来源:The Hacker News