
Signal / WhatsApp 騎劫提醒:加密冇壞,先查 linked device
美國懸紅追查俄方黑客,重點係假客服、驗證碼同備份 key
美國國務院 Rewards for Justice 而家出到最高 US$10 million 懸紅,搵 UNC5792 同 UNC4221 相關線索。Ars Technica 報道,呢批俄方情報相關攻擊者已經騎劫過數以千計 Signal 同 WhatsApp 帳戶,目標集中喺政府、軍方、記者同烏克蘭相關人士。呢件事唔代表我哋個個都俾盯上,不過 WhatsApp 喺香港工作同家庭群組用得咁重,呢種攻擊值得即刻拎嚟做一次安全檢查。
加密冇壞,壞喺入口俾人拎咗
FBI 同 CISA 3 月公告講得好白:攻擊者騎劫嘅係個別通訊 app 帳戶,Signal 或 WhatsApp 本身加密冇俾打穿。帳戶一中招,對方可以睇你新訊息、聯絡人、群組內容,仲可以扮你向其他人再釣魚。好多人以為有端對端加密就一定安全,但如果你自己批准咗另一部機登入,對方就可以用正常裝置身份睇新訊息。

圖片:FBI/CISA(IC3)
linked device 點樣中招
Signal 同 WhatsApp 都有 linked device,方便你用電腦或 iPad 收訊息;Signal 官方話 linked device 第一次可以同步聊天同最近 45 日媒體檔案,連結後手機唔使長開都用到,最多 5 部;WhatsApp 官方就講最多可以連 4 部裝置。攻擊者睇中嘅就係呢份方便:假客服、假群組邀請、假安全提醒,叫你撳連結、掃 QR code,或者交驗證碼同 PIN。你以為係保護帳戶,實際係幫佢加咗一部機。

圖片:FBI/CISA(IC3)
備份 recovery key 麻煩過驗證碼
6 月更新有個新位:攻擊者開始釣 Signal Backup Recovery Key。FBI/CISA 話,如果目標照假訊息開備份,再將 recovery key 貼返畀假 support,對方可以還原歷史訊息、私人對話同群組內容,甚至接管帳戶。麻煩嘅位係,同一條 key 喺你用同一電話號碼開新帳戶之後都可能仲有效;真係交咗出去,就要喺 Signal 設定入面重新產生一條新 key,舊 key 先會對往後備份失效,但已經俾下載嘅備份就收唔返。
WhatsApp 同 Signal 今日點查
先由手機本機入 app,唔好由訊息入面嘅連結入。WhatsApp 大概去 Settings > Linked devices,見到唔認得嘅 browser、Windows、Mac 或平板,就按畫面選項 log out;跟住大概去 Settings > Account > Two-step verification,開六位 PIN,同埋加返 email 方便日後救帳戶。Signal 大概去個人頭像 > Linked devices,再按畫面選項移除唔認得嘅裝置。冇把握邊部係自己嘅,就全部移除再重新連。
群組都要當成風險面
中招唔只係自己訊息俾人睇。FBI/CISA 亦提醒,帳戶俾拎走之後,攻擊者可以用受害者身份再釣其他人;群組入面如果出現重複名、假帳戶,最好用另一條渠道核實。對公司 IT、編輯部、NGO、律師樓呢類高敏感工作嚟講,WhatsApp 群組唔好淨係見個名似熟人就信晒;有任何叫你交 code、PIN、recovery key 嘅訊息,停一停,用電話或另一個渠道問清楚。
公司同高風險用戶點做
如果你只係普通用戶,做完 linked devices 同 two-step verification 已經好值得做;如果係公司 IT、編輯部、NGO、律師樓、研究團隊,就要當呢類 app 係工作系統管理。重要群組定期清成員,group link 唔好長期公開,離職或轉組即日移除,敏感資料用有管理同留痕設定嘅工具處理。講真,WhatsApp 好方便,但方便唔等於適合放所有工作內容。
美國懸紅本身係執法新聞,但當中講到嘅攻擊手法,普通用戶一樣要留意:就算用安全 app,見到 code、PIN、recovery key 都唔應該交出去。而家花兩分鐘打開 WhatsApp 同 Signal 嘅 linked devices,清走唔認得嘅裝置,再開好 PIN 或 registration lock,效果實際過轉發一堆安全傳言。
參考來源
- Ars Technica — US offers $10 million for info on group behind Signal and WhatsApp hacking spree — original report
- UNC5792 – Rewards For Justice — 美國國務院 RFJ 懸紅頁,列出 UNC5792 / UNC4221、目標同手法。
- Russian Intelligence Services Target Commercial Messaging Application Accounts — FBI/CISA 3 月 PSA,確認加密冇俾打穿、帳戶俾騎劫同 linked device 手法。
- Russian Intelligence Services Continue to Target Commercial Messaging Applications — FBI/CISA 6 月更新,補充 Backup Recovery Key 釣魚同處理方法。
- How to protect yourself on Signal — Signal 官方安全建議,確認唔會喺 app 入面叫用戶交 code、PIN 或 key。
- Linked Devices – Signal Support — Signal 官方 linked devices 教學,核對裝置數量同連結特性。
- How to check devices linked to your account and unlink a device you don't recognize | WhatsApp Help Center — WhatsApp 官方教學,核對同登出唔認得裝置。
- How to manage two-step verification settings | WhatsApp Help Center — WhatsApp 官方 two-step verification 教學,六位 PIN 設定來源。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







