图像来源，Getty Images

加密通讯软体Signal警告用户要留意诈骗迹象，此前，荷兰情报部门表示，这款安全通讯软体的高级用户正成为黑客的目标。

周一，荷兰网络安全机构表示，一场由俄罗斯支持的行动已针对Signal及WhatsApp的个别用户。

他们指出，黑客假冒支援人员，试图取得可让他们存取帐户或劫持连结装置的相关资讯——这埸“全球性”的行动针对目标包括荷兰官员、军事人员与公务员。

Signal表示其系统依然安全，但正“非常重视”看待相关活动的报告。

此次行动是由荷兰情报机构军事情报与安全局（MIVD）及一般情报与安全局（AIVD）所识别出来的。

它们在新闻稿中表示，这场“大规模的全球性网络行动”似乎针对俄罗斯政府感兴趣的对象，例如政府官员与记者。

“并非Signal或WhatsApp整体遭到入侵，而是个别人士的帐户成为攻击目标。”AIVD局长西蒙娜·史密特（Simone Smit）说。

Signal在X上发布多则贴文重申，其系统“没有遭到入侵，并依然保持稳健”。

“这些攻击是透过高度复杂的网络钓鱼行动实施，旨在诱骗用户分享资讯——包括简讯验证码及/或Signal PIN——从而取得帐户存取权。”Signal表示。

所谓的网络钓鱼攻击，是指犯罪者试图说服用户交出密码、金钱或个人身分资讯——往往是透过冒充支援人员、朋友、家人或名人。

在此次由荷兰情报机构揭露的攻击中，黑客假冒“Signal支援”试图让人提供帐户相关资料。

跳过 X 帖子允许X内容

此文包含X提供的内容。由于这些内容会使用曲奇或小甜饼等科技，我们在加载任何内容前会寻求您的认可。 您可能在给与许可前愿意阅读X小甜饼政策和隐私政策。 希望阅读上述内容，请点击“接受并继续”。

Accept and continue告知: BBC 不对外来网站内容负责

结尾 X 帖子

在注册Signal帐户时，用户会被要求设定一组PIN码以提升安全性——Signal强调，这组PIN绝对不应与任何人共享。

该公司补充说，用户也不应分享发送到其手机号码的验证码。

WhatsApp也给出了类似的建议，表示用户不应透露用于保护帐户的六位数字验证码。

该公司并指出，用户还可以采取其他额外措施来提升帐户安全，包括封锁陌生号码的信息或通话。

“人为漏洞”

Signal强调，尽管平台已具备相关防护措施，但“用户的警觉性”仍是对抗网络钓鱼攻击的最佳方式。

“安全功能正被反过来武器化，用来对付用户，”资安公司Huntress的网络安全顾问穆罕默德·雅哈亚·帕特尔（Muhammad Yahya Patel）表示。

他告诉BBC：“过去黑客寻找的是程式码中的漏洞。现在，他们正在寻找人类与应用程式互动方式中的人为漏洞。”

他指出，一些强调方便性的功能——例如允许用户透过QR code在其他装置登入帐户，或透过简讯验证码找回帐户——如今都成了“犯罪者使用的主要攻击途径”。

帕特尔呼吁，用户应定期在“设定”中检查与帐户连结的装置，确保没有陌生人能存取其信息。

他同时提醒，用户还应该注意，使用具备端到端加密（E2EE）的应用程式，并不意味着“完全安全”。



图像加注文字，用户可在应用程式的设定中限制谁能查看其大头照、即时位置，或将其加入群组。

端到端加密——Signal和WhatsApp用于保护信息的技术——意味着只有信息的发送者和接收者才能阅读内容。

“但如果帐户或装置遭到入侵，这类加密技术也无法提供保护。”帕特尔表示。

荷兰情报机构相信，俄罗斯之所以锁定Signal，是因为该应用程式以高度安全著称，广受需要安全通讯的官员使用。

但他们指出，这也同时使该应用程式成了“恶意行为者的理想目标”，企图截取敏感资讯。

“尽管这些应用程式提供端到端加密，但像Signal和WhatsApp这类应用程式，不应被用来传送机密、保密或敏感资讯。”MIVD局长彼得·雷辛克（Peter Reesink）表示。

英国皇家联合军种研究所的网络研究员皮娅·胡施博士（Dr Pia Hüsch）指出，“许多网络空间中的恶意行为者正在利用这些应用程式。”

但她也补充说，这次使用的“传统钓鱼手法”可能会让部分人感到意外。

“我们有时会认为国家级黑客都非常高端，拥有各种能力与华丽工具……但这其实是非常基本的入侵方式。”许许博士说。