荷蘭情報部門 9 日發布調查報告,揭發俄羅斯政府黑客正針對全球範圍內的 Signal 及 WhatsApp 用戶發動大規模攻擊,重點針對各國政府官員、軍事人員及記者。荷蘭軍事情報安全局及總情報與安全局指出,俄黑客主要利用網絡釣魚及社交工程等手段奪取帳戶權限,而非使用傳統惡意軟件。
偽裝官方支援人員 騙取驗證碼及 PIN 碼
報告指出,黑客會偽裝成 Signal 官方支援團隊,直接向目標發送私訊,警告其帳戶出現「可疑活動」或「潛在數據洩漏」。一旦受害者誤信訊息並回應,黑客便會要求受害者提供由系統發出的驗證碼(該驗證碼由黑客向 Signal 索取)及用戶 PIN 碼。
黑客取得上述資料後,會立即在另一台設備上綁定新電話號碼,繼而冒充受害者,甚至存取其聯絡人資訊。對於受害者而言,儘管自己的帳戶會被鎖定,但由於受害者可以透過自己的電話號碼重新註冊帳戶,而 Signal 的聊天紀錄存儲於手機本地端,因此用戶重新登入後仍能看見對話紀錄。同時,黑客亦無法見到用戶之前的訊息,用戶便會誤以為帳戶安然無恙。荷蘭情報部門強調,這種心理假象正是黑客維持長期潛伏的關鍵。
利用「已連結裝置」功能 竊取 WhatsApp 對話紀錄
針對 WhatsApp 的攻擊則主要利用「已連結裝置」(Linked devices)功能。黑客會誘使用戶掃描不明 QR 碼或點擊偽裝成群組邀請的連結,從而將黑客的設備連結至用戶的帳號。
與 Signal 不同,黑客成功連上 WhatsApp 帳戶後,有機會讀取用戶過去的對話內容。由於受害者在黑客入侵期間不會被強制登出,因此更難察覺帳戶已被第三方監控。Meta 發言人 Zade Alsawah 回應道,建議用戶切勿與任何人分享驗證碼,並可以參考官方支援中心頁面以識別可疑訊息。
烏克蘭戰場技術外溢 官方提醒加強防禦
Signal 官方雖然未有直接回應,但已在社交平台發布一系列安全建議,強調官方絕不會透過應用程式直接提供支援,並呼籲用戶嚴禁分享短訊驗證碼。荷蘭國防部發言人 Laurens Bos 拒絕透露此次行動的更多細節。俄羅斯亦未就此事作出回應。
情報顯示,報告中提及的部分技術此前已在俄烏戰爭中被發現。荷蘭當局提醒,用戶必須提高警覺,仔細審視所有要求掃描 QR 碼或提供驗證資訊的私訊,以應對這場持續中的全球性網絡威脅。
即刻【按此】,用 App 睇更多產品開箱影片
【熱門報道】
Source:AVID、TechCrunch、WhatsApp、Signal
【相關話題】全球首宗機械人被捕?機械人街頭嚇親阿婆遭怒罵 阿 Sir 介入調停「押送犯人」
澳門近日發生一宗結合科技與日常的奇特事件,一名婆婆在街頭疑被行走中的機械人尾隨嚇到,當場破口大罵,事件最終由警察介入,將該機械人帶走,網上流傳影片及照片迅速引爆討論,不少網民戲稱這或為全球首宗「拘捕」機械人的案例。
Source:ezone.hk
【相關話題】唔想加班 / 想推咗聚會諗唔到藉口?網上爆紅「藉口生成器」App
你是否有過下班時突然被老闆留着加班,抑或被家人朋友迫著參加某些聚會?接下來介紹的應用程式或者可以幫到你!近日 Threads 瘋傳一款名為「快逃鴨」的應用程式,專門協助用戶在不想參與某些場合時,快速提供合適的理由,亦能自製來電以增加藉口的可信性,讓用戶順利「逃離現場」,獲網民封為「請假神器」、「太適合 I 人逃走」、「最強藉口生成器」。
Source:ezone.hk