俄罗斯情报利用伪装支持短信窃取消息账户凭据：针对乌克兰与欧美的大规模网络间谍活动揭秘

俄罗斯情报机构近期再次将网络间谍手段升级，通过精心伪装的短信诈骗直接瞄准Messenger、Signal、WhatsApp等主流消息应用的用户账户。乌克兰安全局与美国联邦调查局日前联合披露，一场长期运行的网络攻击行动已对乌克兰、欧洲及美国境内的政府官员、军事人员、政治家与民间活动家的消息账户构成严重威胁。攻击者通过发送冒充平台官方支持机器人的短信，诱导用户主动泄露账户凭据，从而实现对敏感对话、个人数据与组织内部信息的大规模窃取。

这场行动并非针对特定组织或公职人员，而是广泛覆盖乌克兰普通民众的个人账户。乌克兰安全局在社交平台发布预警时明确指出，攻击目标不仅限于机构或公众人物，还包括大量乌克兰普通民众的私人账户。行动的最终目标是获取军事、政治与经济情报，同时窃取个人身份数据。此类攻击模式与既往被归因于俄罗斯网络威胁组织的手法高度一致，包括被追踪为Star Blizzard、UNC5792（又名UAC-0195）与UNC4221（又名UAC-0185）的多个黑客集团。这些集团长期活跃于针对Signal与WhatsApp用户的网络钓鱼攻击，本次行动的技术手段与其过往战术一脉相承。

从短信内容到诱饵页面的设计，攻击者充分利用了用户对平台官方支持流程的信任。受害者通常会收到一条短信，内容显示为某消息应用的“官方支持”机器人发送的提示，要求用户点击链接以“验证账户”或“恢复服务”。一旦用户点击链接并输入账号密码，攻击者便可直接接管账户，进而窥探私密对话、下载聊天记录、冒充用户身份发送消息，甚至通过账户恢复机制进一步渗透其他关联服务。此类攻击的隐蔽性极高，因为短信本身并不包含恶意软件，而是依赖用户的主动泄露行为完成整个攻击链。

伪装支持短信：攻击者如何构建信任陷阱

伪装成官方支持机器人的短信诈骗并非新招，但本次行动的规模与针对性显著提升。攻击者在短信中通常使用与目标平台高度相似的语言风格与界面设计，甚至能够在短信中嵌入看似合法的链接，这些链接指向外观与真实平台几乎无异的钓鱼网站。例如，攻击者可能发送一条内容为“您的账户因异常活动已被临时锁定，请立即通过以下链接验证身份”的短信。当用户点击链接后，页面会要求输入完整的账号与密码，部分页面还会进一步要求输入短信验证码或应用内的二次验证码，从而绕过平台本身的安全机制。一旦用户完成输入，攻击者便可在几秒内登录目标账户，并利用账户内的信息发起更深层次的渗透。

值得关注的是，这类钓鱼短信在技术实现上并不复杂，但攻击者通过精准的目标选择与情境模拟，成功提升了诈骗的成功率。在乌克兰与欧洲地区，攻击者尤其针对军事人员与政府官员的个人手机号进行定向投递，利用战时环境下用户对“安全提醒”的高度敏感性，诱使用户在短时间内做出错误判断。此外，攻击者还会在短信中加入紧迫感的语言，例如“如不在24小时内验证，账户将被永久删除”，进一步压缩用户的理性思考时间。这种心理操纵手法在网络安全领域被称为“紧迫性攻击”，已被广泛应用于各类网络诈骗中。

被攻击的平台与威胁组织画像

根据乌克兰安全局与美国联邦调查局的披露，本次行动的目标平台包括Facebook Messenger、Signal与WhatsApp等主流消息应用。这些平台普遍采用端到端加密技术，但加密并不意味着账户凭据的安全性。攻击者通过窃取账户凭据，实际上绕过了加密保护，直接获取了明文形式的聊天内容与元数据。此外，由于许多用户在多个平台使用相同或相似的密码，攻击者还可以利用窃取的凭据尝试登录其他服务，进一步扩大渗透范围。

在威胁组织画像方面，乌克兰安全局并未直接点名具体的黑客集团，但多家网络安全研究机构将本次行动与已知的俄罗斯网络威胁组织关联起来。其中，Star Blizzard（又名COLDRIVER）长期活跃于针对西方政府与军事目标的网络间谍活动，其特点是通过定向钓鱼邮件与短信实施攻击。UNC5792与UNC4221则分别以UAC-0195与UAC-0185的名称被乌克兰网络安全机构追踪，这些组织在过往行动中多次针对乌克兰与欧洲的政府、媒体与民间组织发动攻击。研究人员指出，这些组织通常与俄罗斯情报部门保持密切联系，其攻击行动往往服务于特定的地缘政治目标。

此外，本次行动还与另一起由白俄罗斯支持的网络威胁活动形成时间上的呼应。乌克兰计算机应急响应小组（CERT-UA）上月将一起针对政府组织的鱼叉式钓鱼攻击归因于名为UNC1151（又名Ghostwriter与UAC-0057）的黑客集团。该集团通过窃取政府官员的账户，进一步传播名为OYSTERBLUES的信息窃取木马，从而实现对目标系统的长期渗透。这种多线程的网络攻击模式表明，乌克兰与欧洲地区正面临来自俄罗斯与白俄罗斯网络力量的协同压力，攻击者通过不同的技术手段与组织架构，共同构成了针对当地关键基础设施与政府机构的全方位威胁。

从凭据窃取到后续渗透：攻击链的完整路径

这类基于短信钓鱼的账户窃取攻击并非孤立事件，而是构成了一条完整的攻击链。攻击者首先通过伪装支持短信获取用户的账户凭据，然后利用这些凭据登录目标账户。一旦成功登录，攻击者便可查看过往聊天记录、下载文件、监控新消息，甚至冒充用户身份与其他联系人进行对话。在某些情况下，攻击者还会利用账户内的信息发起更深层次的渗透，例如通过重置密码功能绕过其他服务的安全保护。

更为危险的是，许多用户在消息应用中存储了大量敏感信息，包括内部文件、会议记录、联系人信息等。攻击者通过窃取这些数据，不仅能够获取直接的情报价值，还可以利用这些信息发起后续的社会工程学攻击，例如针对用户的同事或家人实施定向诈骗。此外，由于许多消息应用支持跨设备同步，攻击者还可以通过登录其他设备进一步扩大攻击范围。例如，在WhatsApp中，攻击者可以通过已登录的账户向用户的所有联系人发送恶意链接，从而实现病毒式传播。

值得警惕的是，这类攻击还可能触发连锁反应。例如，攻击者在获取某个政府官员的Messenger账户后，可能利用该账户向其他官员发送钓鱼链接，从而实现对整个组织的渗透。这种“横向移动”攻击模式在网络安全领域被称为“跳板攻击”，其危害性远超单纯的账户窃取。此外，由于许多用户在消息应用中绑定了银行账户、邮箱等其他服务，攻击者还可以通过窃取的账户进一步获取经济利益。

如何降低风险：实用的消息应用安全防护清单

面对这种针对性极强且隐蔽的网络攻击，用户与组织需要采取一系列实用的安全防护措施。首先，定期检查并清理消息应用中的活跃会话是最基础也是最有效的防护手段。用户应定期登录消息应用的安全设置页面，查看当前登录的设备列表，并及时登出陌生或不再使用的设备。例如，在WhatsApp中，用户可以在“设备链接”页面查看所有已登录的设备，并随时断开不熟悉的链接；在Signal中，用户可以在“设备管理”页面查看并管理所有已登录的设备。

其次，启用双因素认证（2FA）是防止账户被盗的关键屏障。尽管双因素认证无法完全阻止钓鱼攻击，但它能够显著提升攻击者的门槛。用户应优先选择基于时间敏感一次性密码（TOTP）的2FA应用（如Google Authenticator、Authy），而非依赖短信验证码。这是因为短信验证码本身也可能被攻击者通过SIM卡交换等手段窃取。此外，用户还应避免将2FA恢复代码存储在消息应用或邮箱中，这些代码应被视为与密码同等重要，并存储在安全的密码管理器中。

再次，用户应避免随意扫描陌生用户发送的二维码，或点击不明来源的链接与文件。许多消息应用（如WhatsApp与Signal）支持通过二维码实现设备间的同步登录，但攻击者可能通过伪装成“设备同步”二维码诱使用户扫描，从而实现账户劫持。此外，用户还应警惕任何要求提供确认码、PIN码、密码或账户恢复密钥的请求，即使这些请求看似来自官方支持渠道。任何官方机构或平台都不会通过短信或消息应用要求用户提供这些敏感信息。

最后，组织层面应建立针对消息应用账户的安全监控机制。例如，组织可以制定内部政策，要求员工定期更新消息应用的安全设置，并定期进行安全培训，提高员工对钓鱼攻击的识别能力。对于高风险岗位（如政府官员、军事人员、外交人员），组织还可以考虑为其配备专用的通信设备，并限制这些设备的网络访问权限。此外，组织还应建立快速响应机制，在发现账户被盗后能够及时切断攻击者的访问路径，并通知相关联系人避免进一步传播。

政府与企业的联合防线：网络威胁情报共享的重要性

乌克兰安全局与美国联邦调查局的联合披露表明，面对跨国网络间谍活动，政府与企业之间的情报共享与协同防御至关重要。这类攻击往往涉及多个国家与地区，攻击者通过分散的基础设施与错综复杂的网络路径实施攻击，单一组织或国家难以完全掌握攻击的全貌。因此，建立跨国网络威胁情报共享机制，能够帮助各方及时获取攻击者的最新动向、技术手段与指标（IOC），从而提升整体防御能力。

在实践中，这种情报共享可以通过多种形式实现。例如，政府机构可以与网络安全企业建立合作关系，共享钓鱼网站的域名、IP地址、恶意软件样本等威胁指标，从而帮助企业与个人及时更新防护规则。同时，政府还可以建立针对特定威胁组织的预警机制，在检测到相关活动时及时通知潜在目标。此外，跨国执法合作也是打击网络间谍活动的重要手段。例如，美国联邦调查局与乌克兰安全局的合作不仅帮助揭露了攻击行动，还可能为后续的法律追责与制裁提供证据支持。

对于企业而言，参与网络威胁情报共享不仅能够提升自身的防御能力，还能够为整个行业的安全生态做出贡献。许多网络安全企业通过建立威胁情报平台，收集并分析来自全球的攻击数据，为客户提供实时的威胁预警。企业可以通过订阅这些服务，及时获取与自身业务相关的威胁情报，并调整安全策略。此外，企业还可以参与行业组织（如FS-ISAC、ISACs等）的情报共享活动，与同行交流最佳实践，共同应对网络威胁。

未来趋势与长期防护策略

展望未来，随着网络间谍活动的日益复杂化，基于短信钓鱼的账户窃取攻击可能会进一步演化。攻击者可能结合人工智能技术，生成更加逼真的钓鱼短信与诱饵页面，从而提升攻击的成功率。例如，攻击者可以利用AI生成与目标用户语言风格、背景信息高度匹配的钓鱼内容，进一步降低用户的警惕性。此外，随着5G与物联网技术的普及，攻击者可能将目标从传统的智能手机扩展至智能手表、车载系统等更多设备，从而实现更广泛的渗透。

面对这种演化趋势，长期的防护策略需要从技术、流程与人员三个层面入手。在技术层面，用户与组织应优先部署基于行为分析的异常检测系统，这些系统能够在用户账户出现异常登录、数据下载等行为时及时告警。此外，零信任架构（Zero Trust）的理念也值得推广，通过持续验证用户身份与设备状态，降低攻击者即使获取凭据也难以实现横向移动的风险。在流程层面，组织应建立完善的账户管理与应急响应流程，确保在账户被盗后能够及时发现并切断攻击者的访问路径。在人员层面，定期的安全培训与模拟演练是提升员工安全意识的关键，只有通过持续的学习与实践，才能有效应对不断变化的网络威胁。

此外，政策层面的支持也不可或缺。政府应加强对网络间谍活动的法律界定与惩罚力度，建立针对跨国网络攻击的司法协助机制，为受害国提供法律救济。同时，政府还应推动国际合作，共同打击网络犯罪与网络间谍活动，构建一个更加安全的网络空间。对于企业而言，积极参与行业自律与标准制定，也是提升整体安全水平的重要途径。

结语：保持警惕，构建主动防御体系

俄罗斯情报机构通过伪装支持短信实施的网络间谍活动，再次提醒我们网络安全威胁的现实性与复杂性。这类攻击不仅针对政府与军事目标，还广泛涉及普通民众，其影响范围之广、手法之隐蔽，值得所有人保持高度警惕。从伪装支持短信的诈骗手法，到后续的账户劫持与信息窃取，攻击者通过一系列精心设计的步骤，实现了对目标的深度渗透。

面对这种威胁，用户与组织需要从基础做起：定期检查账户安全设置、启用双因素认证、避免点击陌生链接、不随意泄露敏感信息。同时，政府与企业应加强情报共享与协同防御，建立更加主动的网络安全体系。只有通过技术、流程与人员的协同努力，才能有效应对不断演化的网络威胁，守护数字时代的安全与稳定。