
Signal 假客服釣復原 key:備份安全最大弱點係人手交出去
分清 recovery key、PIN 同 registration lock,先知點自保

圖:TechCrunch.原文連結
如果有人喺 Signal 入面自稱 Signal Support,話你嘅備份同步出事,要你喺對話框交出 recovery key,最安全做法係即刻停低:唔好覆、唔好交 key、直接 report and block。TechCrunch 喺 2026 年 5 月 28 日報道,一波新釣魚攻擊正針對 Signal 用家嘅 Secure Backups 復原 key;關鍵唔係 Signal 端對端加密被破解,而係攻擊者扮客服,迫用家親手交出可以解開備份嘅唯一資料。
對香港用家,風險唔止係有人冒你名同朋友講嘢。如果有開啟 Signal Secure Backups,備份入面可能有舊訊息、相片、文件同群組內容;一旦攻擊者同時拎到帳號控制權同 recovery key,過往對話就可能由本來只留喺你手機,變成可被還原嘅資料。香港暫時未見公開報道指同一波攻擊有本地受害數字,所以唔應該寫成香港定向攻擊;但以本地工作群組、社群通訊同私人對話嘅使用習慣,呢類釣魚已經值得即刻處理。
呢次釣魚釣嘅係備份
TechCrunch 引述 Washington Post 分析員 Josh Rogin 發出嘅截圖,指攻擊者假冒 Signal 支援團隊,聲稱目標用家嘅備份聊天同媒體檔案因同步問題有永久遺失風險,要求對方喺聊天入面分享 recovery key。報道亦提到,有人指多名反中共活動人士收到類似訊息;Access Now Digital Security Helpline 負責人 Mohammed Al-Maskati 則向 TechCrunch 表示,另有兩名向佢求助嘅人收到相似訊息,但兩人並非中國活動人士。
呢啲資料只足以說明攻擊可能唔止一個社群,或者有不同攻擊者沿用同一套劇本;暫時未足以推論攻擊規模、成功率,亦唔應該將事件延伸成香港個案。TechCrunch 報道亦寫明,Signal 未有回應查詢,而 Al-Maskati 指單靠偷到 backup recovery key 只係攻擊其中一步,攻擊者仍然要接管受害人帳號,先可以把備份下載同還原。換句話講,呢次更似係釣魚劇本升級,而唔係 Signal 加密設計突然失守。
Secure Backups 真正保護乜
Signal Secure Backups 係一個 opt-in 功能,官方支援頁寫明,開啟後可以自動備份訊息記錄,方便手機遺失、損壞、換機或重裝 Signal 時還原。備份檔案用端對端加密保護,核心係一組 64 字元 recovery key;Signal 表示呢組 key 喺裝置產生,不會交畀 Signal server,亦唔會由 Signal 代你保存。免費層包括全部文字訊息同最近 45 日媒體檔案;如要保存更長時間媒體,可選月費 US$1.99、最多 100GB 嘅方案。
呢個設計有一個好硬淨、但亦好殘酷嘅取捨:冇 recovery key,就連 Signal 都幫你解唔返個備份;但如果你將 key 交咗畀假客服,呢個保護亦會被你自己打穿。Secure Backups 令 Signal 由以往偏向「換機就未必有舊記錄」嘅保守模式,走向更貼近日常需要嘅備份體驗;但所有以用家自管 key 為核心嘅系統,都會自然變成釣魚目標,因為攻擊者唔需要破解密碼學,只需要令人相信自己真係客服。
PIN、復原 key、registration lock 唔係同一樣嘢
Signal PIN 同 recovery key 最容易混淆,但官方講得好清楚:PIN 唔係聊天備份。PIN 係用嚟幫你恢復 profile、設定、聯絡人同 block list,亦支援非電話號碼識別等功能;佢唔會連住訊息歷史,亦唔可以用嚟還原已遺失嘅聊天內容。PIN 亦唔等於 SMS 驗證碼、手機 screen lock、或者 Android 本機備份用嘅 passcode,幾樣嘢喺安全模型入面各自負責唔同位置。
registration lock 則係另一層防線:如果開啟咗,有人想用你個電話號碼喺新裝置註冊 Signal,就要知道你嘅 PIN。呢個功能主要係擋 SIM swap、SMS code 被呃走、或者電話號碼被人重新註冊後嘅帳號接管;如果你忘記 PIN,官方支援頁提到可能要等最多 7 日 inactivity timer。簡單講,PIN 守住帳號重新註冊,recovery key 開備份,registration lock 係將 PIN 用喺防接管場景;三者都唔應該喺聊天入面交畀任何人。
加密冇破,攻擊係繞過加密
呢類攻擊最值得留意嘅地方,係佢完全可以喺端對端加密仍然有效嘅情況下成功。FBI 同 CISA 今年 3 月曾就商用通訊 app 釣魚發出公告,指有俄羅斯情報相關行動透過假冒支援帳號、誘使用家交出 PIN 或驗證碼、或者濫用 linked device 功能去接管帳號;公告亦強調,受影響係個別帳號,而唔係通訊 app 加密本身被攻破。TechCrunch 今次報道嘅 backup key 劇本,正正係同一條思路:唔打加密,改打人同流程。
行業趨勢亦令呢個問題更普遍。WhatsApp 早喺 2021 年已推出端對端加密備份,可用自訂密碼或 64 位加密 key 保護 Google Drive 或 iCloud 備份,Meta 當時亦表示 WhatsApp 同備份服務供應商都唔能夠讀取備份或取得解鎖 key。Signal 嘅 Secure Backups 取向更強調少收集資料、少把 key 交畀服務商,但最後都面對同一條 UX 難題:備份要方便,必然要有還原流程;還原流程一出現,就會有人扮成官方支援去呃 key。
香港用家要點處理
本地角度唔係港行價、上架時間,亦唔係有冇香港專屬版本,而係即時通訊已經成為工作同私人資料流動嘅主渠道。HKCERT 今年 1 月發布嘅 2026 網絡安全展望指出,香港 2025 年錄得 15,877 宗網上安全事故,按年升 27%;釣魚攻擊佔近 60%,而攻擊渠道已擴展至社交媒體同即時通訊平台。HKCERT 早前嘅流動即時通訊安全指引亦提醒,用家要理解 app 內嘅加密、私隱設定、雲端備份等功能,亦要留意釣魚連結、帳號盜用同 app 更新。
收到可疑 Signal 支援訊息,可以用一個好實際嘅 checklist 處理:
- 唔好喺聊天入面輸入或傳送 recovery key、PIN、SMS 驗證碼、付款資料。
- 唔好按對方提供嘅驗證、修復、同步、還原連結;要查就自己開官方 app 或官方網站。
- 喺 Signal 入面 report and block 可疑帳號;真要聯絡支援,就用官方支援方法。
- 檢查 Signal linked devices、registration lock、PIN 設定同 app 更新狀態。
- 如果已經交出 recovery key,先假設備份已經唔再安全;用仍登入嘅手機檢查帳號狀態,考慮關閉並刪除 Secure Backup,再重新設定新備份同新 key。
- 如果涉及公司、社群管理、消息來源或敏感文件,即刻通知相關 IT team 或群組管理員,因為攻擊者可能用被接管帳號再向其他人釣魚。
值得再講一次:官方 Signal Support 唔會用可互相對話嘅聊天要求你交 PIN、recovery key 或驗證碼。Signal 官方支援頁指,真正官方 Signal chat 係 view-only,並會有獨特背景同提示;如果有人喺 message request 或普通聊天入面自稱安全團隊、客服、bot、代表 Signal,要求你配合修復帳號,安全假設應該係詐騙。呢個判斷唔需要技術背景,只需要記住一條規則:任何要求你把密碼、key 或驗證碼交出聊天框嘅人,都唔係幫你保護帳號。
點睇呢件事
Secure Backups 本身係 Signal 一個合理而且必要嘅功能,因為現代人唔可能接受手機一壞就永久失去所有對話、相片同文件。但越多安全產品把責任交返用家手上,越需要清楚講明每一組 code、PIN、key 分別做乜,否則安全設計會輸畀一段寫得似官方通知嘅釣魚訊息。對香港用家同公司 IT team 嚟講,今次最實用嘅功課唔係恐慌停用 Signal,而係把 recovery key 當成保險箱鎖匙:可以寫低、可以放密碼管理器,但絕對唔可以喺任何聊天入面交出去。
參考來源
- TechCrunch — Hackers are trying to steal Signal users’ backups in new wave of phishing attacks — original report
- Signal Support:Signal Secure Backups — 官方說明 Secure Backups、64 字元 recovery key、備份內容、收費同刪除備份安排。
- Signal Support:Signal PIN — 官方解釋 PIN、registration lock、SMS 驗證碼同聊天備份之間嘅分別。
- Signal Support:Staying Safe from Phishing, Scams, and Impersonation — 官方釣魚防護指引,列明 Signal staff 唔會喺聊天入面索取 verification code、PIN 或 backup recovery key。
- FBI / CISA:Russian Intelligence Services Target Commercial Messaging Application Accounts — 背景參考,說明假冒支援帳號同 linked device / account takeover 係近期通訊 app 釣魚常見手法。
- HKCERT:Hong Kong Cybersecurity Outlook 2026 — 提供香港釣魚攻擊、即時通訊渠道同 2025 年本地網安事故趨勢。
- HKCERT:Mobile Instant Messaging Security Guidelines — 本地即時通訊安全指引,支撐文中有關釣魚、帳號管理、雲端備份同 app 更新嘅安全提醒。
- Meta:End-to-End Encrypted Backups on WhatsApp — 競品背景,對比 WhatsApp 端對端加密備份同 64 位 key / 密碼方案。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







