文章总结: FBI与CISA联合警告俄罗斯黑客组织UNC5792/UNC4221近期升级钓鱼策略,通过冒充Signal支持团队诱导用户提供备份恢复密钥,进而窃取历史消息。攻击目标聚焦政府官员、军事人员、记者等高价值个体。文档强调用户需警惕非官方渠道的密钥索取,并指导受害者通过生成新密钥使旧密钥失效。 综合评分: 87 文章分类: 威胁情报,漏洞预警,网络安全,社会工程学,数据安全
【安全圈】FBI:俄罗斯黑客现在将目标对准 Signal 备份恢复密钥
安全圈
2026年6月29日 19:00 江苏
在小说阅读器读本章
去阅读
关键词
密钥
FBI 和 CISA 警告称,一场针对 Signal 用户、与俄罗斯情报机构有关的钓鱼活动已演变为窃取 Signal Backup Recovery Keys,使攻击者能够访问受害者的历史消息。
这份更新的公共服务公告是对 2026 年 3 月一份警告的更新,该警告称威胁行为者通过钓鱼活动针对商业消息应用(尤其是 Signal)的用户,目的是劫持账户而非破坏端到端加密。
FBI 今天发布的一份 PSA 警告称:“RIS 网络威胁行为者在更新的钓鱼消息中继续冒充自动化的 CMA 支持账户,但他们的策略已演变为试图诱骗受害者提供 Backup Recovery Keys。”
据 FBI 称,该活动继续针对高情报价值个人,包括现任和前任美国及国际政府官员、军事人员、政治人物、记者以及位于乌克兰的关键官员。
这些机构将此次活动归因于俄罗斯情报机构(RIS),包括嵌入俄罗斯联邦安全局(FSB)边防部队的官员以及其他代表俄罗斯军方行动的行为者。该活动被公开追踪为 UNC5792 和 UNC4221。
针对 Signal 备份的新钓鱼策略
虽然最初的警告侧重于试图窃取验证码或账户 PIN,或诱骗用户将攻击者控制的设备链接到其 Signal 账户的钓鱼消息,但更新后的警报称攻击者已改进了他们的策略。
FBI 表示,威胁行为者继续冒充 Signal 支持团队,发送钓鱼消息,虚假声称 Signal 在据称来自伊朗和后苏联国家黑客的一波攻击之后,正在引入强制性双因素验证。
初始钓鱼消息写道:“最近,尝试通过将第三方设备连接到账户来入侵我们通讯工具用户的行为变得更加频繁。与美国政府和欧洲合作伙伴联合进行的一项调查显示,对账户的攻击是由来自伊朗和后苏联国家的黑客实施的。为此,Signal 更新了服务条款和隐私政策,并为用户引入了强制性双因素验证。为了不丢失您的消息和媒体,请设置您的 Signal Backup(设置 -> 备份 -> 启用备份 -> 查看恢复密钥 -> 复制到剪贴板 -> 下一步 -> 输入恢复密钥 -> 下一步 -> 继续 -> 选择您的备份计划)。点击弹出窗口中的‘接受’按钮,并关注我们通讯工具的安全更新。”
当目标按照这些说明操作时,他们的 Signal 消息会使用 Signal 的 Secure Backups 功能进行备份,该功能将加密的对话副本存储在 Signal 的云服务器上。
数据使用上述步骤中创建的恢复密钥进行端到端加密,且绝不应提供给任何其他人,因为任何拥有该密钥的人都可以在自己的设备上使用它来恢复备份数据。
威胁行为者随后发送第二条钓鱼消息,仍冒充 Signal 支持,警告您的数据因同步问题面临丢失风险。
第二条 Signal 消息写道:“您的 Signal 账户数据(消息和媒体)因同步问题面临永久丢失的风险。”
然后,威胁行为者提示您进入备份设置,将恢复密钥复制到剪贴板,并粘贴到消息中,以防止存储的数据丢失。
然而,一旦您提供了恢复密钥,他们就可以将备份恢复到自己的设备上,并访问受害者的历史消息,包括私人和群组对话。
更新后的警告还提醒用户注意一个可能在账户被入侵后被忽略的恢复场景。
FBI 警告称,如果攻击者获取了用户的 Backup Recovery Key,使用相同电话号码创建新的 Signal 账户并不会使旧的被盗密钥失效。
相反,用户必须通过 Signal 的备份设置生成一个新的 Backup Recovery Key,这会使之前的密钥在未来的备份下载中失效。
然而,这些机构警告称,生成新的恢复密钥并不会阻止攻击者访问他们已经使用被盗密钥下载的备份。
更新后的警告提醒用户,合法的消息应用支持团队仅通过官方公司电子邮件地址进行沟通,绝不会在应用内请求验证码,也不会发送要求用户验证或恢复账户的链接。
任何认为自己已成为该活动受害者的人,都被鼓励向 FBI 的互联网犯罪投诉中心(IC3)、当地 FBI 外勤办事处或 CISA 报告该事件。
END
阅读推荐
【安全圈】三星 Galaxy 手机被曝高危安全漏洞
【安全圈】波兰捣毁与数百万美元加密货币盗窃案相关的 SIM 卡交换团伙
【安全圈】新型 Gaslight macOS 恶意软件利用提示注入扰乱 AI 辅助分析
【安全圈】苹果印度代工厂遭黑客入侵 海量新机机密文件流入暗网
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈 《【安全圈】FBI:俄罗斯黑客现在将目标对准 Signal 备份恢复密钥》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论