文章总结: FBI/IC3与CISA于2026年6月26日联合发布警报,指出俄罗斯情报相关威胁行为体通过钓鱼手段诱导目标用户交出Signal等商业通讯应用的备份恢复密钥,而非攻破加密机制。攻击者可利用恢复密钥访问历史消息、接管账号,对政府人员、记者等高危群体造成严重信息泄露风险。文档建议用户将恢复密钥视同密码严禁外泄,若已泄露需立即生成新密钥,并呼吁企业将恢复流程纳入安全培训。 综合评分: 85 文章分类: 威胁情报,数据安全,安全意识,社会工程学,应急响应
Signal 恢复密钥被盯上:加密没破,人的“备份钥匙”被钓走了
原创
tcode tcode
字节脉搏实验室
2026年6月29日 10:40 北京
在小说阅读器读本章
去阅读
事件概述
FBI/IC3 于 2026 年 6 月 26 日发布更新警报,CISA 参与联合提醒:俄罗斯情报相关威胁行为体仍在针对商业通讯应用账号开展钓鱼活动,并将目标从验证码、账号 PIN 扩展到备份恢复密钥。
这类攻击最容易被误解为“加密聊天工具不安全了”。事实并不是这样。FBI 与 CISA 明确说明,攻击者没有攻破商业通讯应用本身的加密或应用机制,而是通过伪装成自动化支持账号、恢复提醒或账号安全提醒,诱导用户主动交出能解锁备份的关键材料。
对于 Signal 这类端到端加密工具来说,备份恢复密钥的意义很直接:它不是普通提示文字,而是恢复消息历史的钥匙。如果用户把它发给攻击者,攻击者可能恢复历史消息、查看私聊和群聊内容,并进一步接管账号。
核心事实
事实一:FBI/IC3 警报编号为 I-062626-PSA,日期为 2026 年 6 月 26 日。警报是对 2026 年 3 月相关 PSA 的更新。
事实二:FBI/CISA 称,相关俄罗斯情报服务威胁集群公开跟踪名包括 UNC5792 和 UNC4221,目标包括政府人员、军事人员、政治人物、记者以及乌克兰相关关键人员。
事实三:警报强调,攻击者没有攻破商业通讯应用的加密或应用本身,而是通过钓鱼和社工手段获取验证码、账号 PIN 或 Backup Recovery Key。
事实四:如果受害者交出 Backup Recovery Key,即使之后用同一手机号创建新账号,旧密钥仍可能在未来造成风险。缓解方式是到设置中生成新的 Backup Recovery Key,使旧密钥对未来备份下载失效;但这不能撤回攻击者已经下载的历史备份。
影响分析
这件事的核心价值在于,它把“备份”从可用性问题变成了安全问题。很多用户理解密码和验证码的重要性,却不了解恢复密钥、备份码、同步密钥和账号恢复信息同样敏感。
对高风险人群来说,这类攻击尤其危险。记者、律师、政府人员、政治活动人士、企业高管和安全研究员,可能在通讯工具中保存联系人、线索、工作安排和敏感讨论。攻击者一旦读取历史消息,造成的损害不是“账号被盗一天”,而是长期关系网络和历史信息被暴露。
对企业来说,问题不止发生在 Signal。很多协作工具、密码管理器、云存储、开发平台和身份系统都存在恢复密钥、备份码或紧急访问机制。只要员工认为“客服让我发就可以发”,强加密和强认证都会被绕到人这一侧。
普通用户和企业应对建议
第一,把 Backup Recovery Key、恢复码、助记词、备用验证码当作密码处理。任何聊天窗口、客服对话、邮件、电话都不应索要这些信息。真实官方客服也不需要你把完整密钥发给对方。
第二,如果怀疑自己交出过恢复密钥,应立即在应用设置中生成新密钥,并检查已登录设备、链接设备和账号恢复设置。对于高风险人群,还应评估历史消息是否已经暴露。
第三,企业应把“恢复密钥不可分享”写入安全培训,而不是只讲“不要点链接”。钓鱼内容可能不再要求下载文件,而是引导员工在合法应用里完成危险操作。
第四,高敏感岗位应减少自动云备份范围,定期审查通讯工具的备份策略、设备绑定和离职人员访问。对确有保密需求的对话,不要只依赖工具名,要理解备份、截图、同步和端点安全共同决定风险。
第五,安全团队处理类似事件时,应区分三种情况:应用漏洞、账号接管、恢复材料泄露。不同类型对应的处置措施完全不同,不能只让用户“改个密码”就结束。
事实、推测与观点
可以确认的事实是:FBI/IC3 与 CISA 发布更新警报;警报称俄罗斯情报相关行为体正在诱导目标交出 Backup Recovery Keys;官方明确指出应用加密本身未被攻破。
合理推测是:攻击者会继续寻找用户不熟悉但权限很高的“恢复材料”,包括备份码、恢复密钥、设备链接码和云同步密钥。这类材料往往比普通密码更难被用户识别为敏感信息。
我的观点是:安全教育需要从“别点链接”升级到“别把控制权交出去”。当攻击者不再攻击算法,而是攻击用户对恢复流程的理解时,安全团队必须把恢复流程本身纳入威胁建模。
结语
这次 Signal 恢复密钥钓鱼事件的关键不是“某个聊天软件不可靠”,而是“恢复机制也是身份边界”。加密保护消息传输和存储,但不能保护用户主动交出的钥匙。未来的账号安全培训,必须把恢复密钥、备份码和备用登录方式放到和密码同等的位置。
关键来源
·FBI/IC3:《Russian Intelligence Services Continue to Target Commercial Messaging Applications》,Alert Number I-062626-PSA,2026-06-26,https://www.ic3.gov/PSA/2026/PSA260626
·Security Affairs:《New FBI Alert: Russian Intelligence Uses Signal Recovery Keys to Access Messages》,2026-06-27,https://securityaffairs.com/194360/intelligence/new-fbi-alert-russian-intelligence-uses-signal-recovery-keys-to-access-messages.html
·BleepingComputer:《FBI: Russian hackers now target Signal backup recovery keys》,2026-06-26 06:06 PM,https://www.bleepingcomputer.com/news/security/fbi-russian-hackers-now-target-signal-backup-recovery-keys/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:字节脉搏实验室 tcode tcode《Signal 恢复密钥被盯上:加密没破,人的“备份钥匙”被钓走了》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论