FBI 警告：俄罗斯黑客瞄准 Signal 备份恢复密钥，用户该如何应对

钓鱼升级：从验证码窃取到备份恢复密钥盗取

美国联邦调查局（FBI）与网络安全和基础设施安全局（CISA）近日发布更新版安全公告，指出一个由俄罗斯情报机构支持的黑客组织正在针对 Signal 用户展开新一轮钓鱼攻击。与之前仅试图窃取短信验证码或账户 PIN 不同，攻击者现已将目标转向 Signal 的备份恢复密钥（Backup Recovery Key）。一旦获取该密钥，攻击者不仅能解锁当前账户，还能直接读取用户历史消息、媒体文件及群组聊天记录。这种攻击方式的升级意味着，即使攻击者无法突破 Signal 的端到端加密，也能通过社会工程学手段绕过技术保护，获取敏感信息。

此次钓鱼活动由多个俄罗斯情报机构参与实施，包括与俄罗斯联邦安全局（FSB）边防部队合作的官员以及为俄罗斯军方工作的网络行动人员。攻击活动被业界公开跟踪为 UNC5792 和 UNC4221。攻击者仍然延续了以往的伪装策略，假冒 Signal 官方支持账号，发送虚假的安全升级通知。但新的变化在于，攻击者在钓鱼信息中加入了“Signal 将强制启用双因素验证以应对来自伊朗及后苏联国家黑客的攻击”的虚假理由，并以“为避免丢失消息与媒体”为幌子，诱导用户开启备份功能并获取恢复密钥。

目标人群精准化：高价值人员成为首要攻击对象

根据 FBI 公告，此次攻击活动的目标人群高度精准，主要针对具有高情报价值的个体，包括现任及前任美国和国际政府官员、军事人员、政治人物、记者以及驻乌克兰的关键官员。这表明攻击者试图通过窃取历史通信内容，获取政治、军事或外交情报，或对特定人群进行长期监控。值得关注的是，此类目标人群通常使用 Signal 作为安全通信工具，因此攻击者瞄准这一平台的行为，反映了其对高价值情报的迫切需求。

此外，攻击者还可能利用获取的历史消息进行敲诈、身份冒充或进一步的网络钓鱼攻击。例如，攻击者可能通过读取用户的聊天记录，伪造用户身份与其联系人进行沟通，进一步扩大攻击范围。这种“二次利用”风险使得此次攻击的危害性远超一般的账户劫持事件，可能对受害者的职业生涯、个人声誉乃至人身安全造成长期影响。

攻击手法解析：从账户劫持到数据持久化窃取

在早期版本的攻击中，俄罗斯黑客主要通过钓鱼链接或虚假登录页面，诱骗用户输入短信验证码或账户 PIN，从而接管 Signal 账户。然而，Signal 的端到端加密机制使得攻击者无法直接读取历史消息。因此，攻击者转向了一种更为隐蔽的策略：诱使用户开启备份功能并泄露恢复密钥。备份恢复密钥是 Signal 用户在启用聊天备份时生成的 30 位数字密钥，用于在新设备上恢复聊天记录。一旦攻击者获得该密钥，便可在任意设备上解密并读取所有历史消息，即使这些消息原本存储在 Signal 的服务器上也是如此。

攻击者的钓鱼信息通常以“Signal 官方支持”的名义发送，内容包括虚假的安全公告、账户异常警告或强制升级通知。例如，攻击者可能发送一条消息，声称“近期针对我们用户的第三方设备接入攻击频发”，并以“Signal 正在更新服务条款及隐私政策，强制启用双因素验证”为由，要求用户开启备份功能。信息中通常包含一个钓鱼链接，指向伪装的 Signal 登录页面或恶意网站，诱导用户输入恢复密钥或下载恶意软件。此外，攻击者还可能通过即时通讯应用直接发送钓鱼链接，进一步提高成功率。

Signal 的安全机制与攻击者的绕过手法

Signal 作为一款主打隐私保护的即时通讯应用，采用了端到端加密、短信验证码双因素认证、注册锁定等多重安全措施。然而，备份恢复密钥的引入，在为用户提供数据迁移便利的同时，也为攻击者提供了新的攻击路径。Signal 的备份功能允许用户将聊天记录加密后存储在云端或本地，但恢复密钥一旦泄露，加密保护形同虚设。攻击者无需突破 Signal 的加密技术，仅需通过社会工程学手段获取恢复密钥，即可实现对历史数据的持久化访问。

值得关注的是，Signal 的恢复密钥默认以明文形式显示在用户界面，用户需手动将其复制保存。这一设计在提升用户体验的同时，也增加了泄露风险。此外，Signal 的恢复密钥无法被重置或撤销，这意味着一旦密钥泄露，用户无法通过 Signal 内部机制阻止攻击者访问历史数据。因此，用户在启用备份功能时，必须格外谨慎，避免在不安全的环境下生成或存储恢复密钥。

防护措施：如何避免备份恢复密钥被窃取

面对这一新型钓鱼攻击，用户应采取多层防护措施以避免恢复密钥泄露。首先，用户应时刻保持对陌生消息的警惕，特别是以“Signal 支持团队”或“安全升级”为名义的信息。任何要求用户提供验证码、PIN 码、恢复密钥或点击陌生链接的请求，均应视为可疑。用户可通过 Signal 官方应用内的“设置”-“帮助”-“联系我们”核实信息真伪，切勿使用信息中提供的联系方式。

其次，用户应避免在不安全的网络环境下启用备份功能。例如，在公共 Wi-Fi、酒店网络或未加密的网络中，不应生成或保存恢复密钥。此外，用户可考虑将恢复密钥存储在物理介质（如纸质或加密的 USB 驱动器）中，并存放在安全的位置，避免将其保存在云端或手机相册中。Signal 官方也建议用户定期检查账户活动日志，查看是否有异常的设备接入或登录行为。

再者，用户可启用 Signal 的“注册锁定”功能，为账户设置额外的 PIN 码保护。该功能可防止未经授权的设备注册或访问账户。同时，用户应定期更新 Signal 应用至最新版本，以获取最新的安全补丁和防护机制。Signal 官方已表示正在评估进一步的安全增强措施，包括限制恢复密钥的显示方式或增加额外的验证步骤。

应急响应：发现泄露后的处置流程

一旦用户意识到恢复密钥可能已泄露，应立即采取应急响应措施。首先，用户应立即停止使用当前的 Signal 账户，并通过另一台安全设备登录 Signal，更改账户 PIN 码和注册锁定 PIN。这一步骤可防止攻击者进一步接管账户。其次，用户应检查账户中的活动日志，查看是否有未经授权的设备接入。如发现异常，应立即使用“注销所有设备”功能，强制登出所有已登录的设备。

接下来，用户应评估泄露的潜在影响。由于攻击者可能已读取历史消息，用户应审查是否有敏感信息（如政治、军事或商业机密）被泄露。如涉及高度敏感信息，用户应立即向所在机构的安全团队或相关政府部门报告，并考虑启动内部调查或法律程序。此外，用户还应检查其他账户（如邮箱、社交媒体）是否存在相似的钓鱼攻击迹象，防止攻击者通过社交工程学手段进一步扩大攻击范围。

最后，用户应考虑重新安装 Signal 应用，并从安全的备份中恢复数据。由于恢复密钥已泄露，用户应避免使用原有的恢复密钥进行数据恢复。相反，用户可选择仅在本地设备上存储聊天记录，或使用新的备份恢复密钥。Signal 官方建议用户在恢复账户后，立即启用双因素认证，并定期更改账户 PIN 码，以降低未来的安全风险。

政府与企业的协同防护：构建更完善的威胁情报体系

此次钓鱼攻击的升级，凸显了政府、企业与用户之间协同防护的重要性。FBI 与 CISA 的公开预警，不仅为用户提供了及时的防护建议，也为安全厂商和企业提供了威胁情报共享的机会。未来，相关机构应进一步加强对俄罗斯情报机构网络活动的监控，并与国际伙伴合作，共同打击此类针对性攻击。同时，Signal 等通讯应用也应在保护用户隐私的前提下，优化安全机制，例如限制恢复密钥的自动显示、增加用户确认步骤或引入硬件安全密钥支持。

企业与政府机构应将此次攻击视为网络安全威胁的典型案例，加强对员工的网络安全培训，特别是针对钓鱼邮件和社会工程学攻击的识别与应对。此外，机构应建立完善的事件响应流程，确保在发生安全事件时能够快速隔离、调查和恢复。对于高风险人群，机构还可考虑提供专业的安全设备（如加密手机或安全通讯应用）和定期的安全审计，以降低潜在的安全风险。

未来趋势与长期防护建议

从长期来看，此类针对通讯应用的钓鱼攻击可能会继续演化，攻击者将不断寻找新的漏洞或社会工程学手段。用户应保持对网络安全威胁的警惕，定期更新安全设置，并避免在不安全的环境下处理敏感信息。Signal 等应用开发者也应持续改进安全机制，例如引入生物识别技术、增加行为分析或实施零信任架构，以提升用户账户的整体安全性。

对于高价值人群，建议采用多层安全策略，包括使用硬件安全密钥、定期审查账户活动、限制备份功能的使用场景等。此外，用户还应关注网络安全社区的最新动态，及时了解新型攻击手法和防护措施。通过持续的安全意识培训和技术防护，用户能够有效降低被钓鱼攻击的风险，保护个人隐私与敏感信息。

总结：主动防护，及时响应，降低风险

FBI 与 CISA 的最新预警表明，俄罗斯黑客组织正在针对 Signal 用户展开更为隐蔽和危险的钓鱼攻击。通过窃取备份恢复密钥，攻击者不仅能解锁账户，还能长期访问历史消息，对受害者造成严重的安全威胁。面对这一新型威胁，用户应提高警惕，避免在不明来源的信息中泄露恢复密钥或其他敏感信息。同时，用户应定期检查账户安全设置，启用双因素认证，并制定应急响应流程，确保在发生安全事件时能够及时采取措施。

Signal 等通讯应用也应在保护用户隐私的前提下，优化安全机制，降低用户因误操作或设计缺陷而遭受攻击的风险。政府与企业则应加强威胁情报共享，建立协同防护体系，共同应对日益复杂的网络安全威胁。通过主动防护、及时响应和持续改进，用户与机构能够有效降低被钓鱼攻击的风险，保护自身的数字安全与隐私。