Signal 假客服釣復原 key:備份安全最大弱點係人手交出去
Tech News

Signal 假客服釣復原 key:備份安全最大弱點係人手交出去

圖片:via TechCrunch — https://techcrunch.com/2026/05/28/hackers-are-trying-to-steal-signal-users-backups-in-new-wave-of-phishing-attacks/
TechLab 編輯部(譯)·

分清 recovery key、PIN 同 registration lock,先知點自保

Signal 假客服釣復原 key:備份安全最大弱點係人手交出去

圖:TechCrunch.原文連結

如果有人喺 Signal 入面自稱 Signal Support,話你嘅備份同步出事,要你喺對話框交出 recovery key,最安全做法係即刻停低:唔好覆、唔好交 key、直接 report and block。TechCrunch 喺 2026 年 5 月 28 日報道,一波新釣魚攻擊正針對 Signal 用家嘅 Secure Backups 復原 key;關鍵唔係 Signal 端對端加密被破解,而係攻擊者扮客服,迫用家親手交出可以解開備份嘅唯一資料。

對香港用家,風險唔止係有人冒你名同朋友講嘢。如果有開啟 Signal Secure Backups,備份入面可能有舊訊息、相片、文件同群組內容;一旦攻擊者同時拎到帳號控制權同 recovery key,過往對話就可能由本來只留喺你手機,變成可被還原嘅資料。香港暫時未見公開報道指同一波攻擊有本地受害數字,所以唔應該寫成香港定向攻擊;但以本地工作群組、社群通訊同私人對話嘅使用習慣,呢類釣魚已經值得即刻處理。

呢次釣魚釣嘅係備份

TechCrunch 引述 Washington Post 分析員 Josh Rogin 發出嘅截圖,指攻擊者假冒 Signal 支援團隊,聲稱目標用家嘅備份聊天同媒體檔案因同步問題有永久遺失風險,要求對方喺聊天入面分享 recovery key。報道亦提到,有人指多名反中共活動人士收到類似訊息;Access Now Digital Security Helpline 負責人 Mohammed Al-Maskati 則向 TechCrunch 表示,另有兩名向佢求助嘅人收到相似訊息,但兩人並非中國活動人士。

呢啲資料只足以說明攻擊可能唔止一個社群,或者有不同攻擊者沿用同一套劇本;暫時未足以推論攻擊規模、成功率,亦唔應該將事件延伸成香港個案。TechCrunch 報道亦寫明,Signal 未有回應查詢,而 Al-Maskati 指單靠偷到 backup recovery key 只係攻擊其中一步,攻擊者仍然要接管受害人帳號,先可以把備份下載同還原。換句話講,呢次更似係釣魚劇本升級,而唔係 Signal 加密設計突然失守。

Secure Backups 真正保護乜

Signal Secure Backups 係一個 opt-in 功能,官方支援頁寫明,開啟後可以自動備份訊息記錄,方便手機遺失、損壞、換機或重裝 Signal 時還原。備份檔案用端對端加密保護,核心係一組 64 字元 recovery key;Signal 表示呢組 key 喺裝置產生,不會交畀 Signal server,亦唔會由 Signal 代你保存。免費層包括全部文字訊息同最近 45 日媒體檔案;如要保存更長時間媒體,可選月費 US$1.99、最多 100GB 嘅方案。

呢個設計有一個好硬淨、但亦好殘酷嘅取捨:冇 recovery key,就連 Signal 都幫你解唔返個備份;但如果你將 key 交咗畀假客服,呢個保護亦會被你自己打穿。Secure Backups 令 Signal 由以往偏向「換機就未必有舊記錄」嘅保守模式,走向更貼近日常需要嘅備份體驗;但所有以用家自管 key 為核心嘅系統,都會自然變成釣魚目標,因為攻擊者唔需要破解密碼學,只需要令人相信自己真係客服。

PIN、復原 key、registration lock 唔係同一樣嘢

Signal PIN 同 recovery key 最容易混淆,但官方講得好清楚:PIN 唔係聊天備份。PIN 係用嚟幫你恢復 profile、設定、聯絡人同 block list,亦支援非電話號碼識別等功能;佢唔會連住訊息歷史,亦唔可以用嚟還原已遺失嘅聊天內容。PIN 亦唔等於 SMS 驗證碼、手機 screen lock、或者 Android 本機備份用嘅 passcode,幾樣嘢喺安全模型入面各自負責唔同位置。

registration lock 則係另一層防線:如果開啟咗,有人想用你個電話號碼喺新裝置註冊 Signal,就要知道你嘅 PIN。呢個功能主要係擋 SIM swap、SMS code 被呃走、或者電話號碼被人重新註冊後嘅帳號接管;如果你忘記 PIN,官方支援頁提到可能要等最多 7 日 inactivity timer。簡單講,PIN 守住帳號重新註冊,recovery key 開備份,registration lock 係將 PIN 用喺防接管場景;三者都唔應該喺聊天入面交畀任何人。

加密冇破,攻擊係繞過加密

呢類攻擊最值得留意嘅地方,係佢完全可以喺端對端加密仍然有效嘅情況下成功。FBI 同 CISA 今年 3 月曾就商用通訊 app 釣魚發出公告,指有俄羅斯情報相關行動透過假冒支援帳號、誘使用家交出 PIN 或驗證碼、或者濫用 linked device 功能去接管帳號;公告亦強調,受影響係個別帳號,而唔係通訊 app 加密本身被攻破。TechCrunch 今次報道嘅 backup key 劇本,正正係同一條思路:唔打加密,改打人同流程。

行業趨勢亦令呢個問題更普遍。WhatsApp 早喺 2021 年已推出端對端加密備份,可用自訂密碼或 64 位加密 key 保護 Google Drive 或 iCloud 備份,Meta 當時亦表示 WhatsApp 同備份服務供應商都唔能夠讀取備份或取得解鎖 key。Signal 嘅 Secure Backups 取向更強調少收集資料、少把 key 交畀服務商,但最後都面對同一條 UX 難題:備份要方便,必然要有還原流程;還原流程一出現,就會有人扮成官方支援去呃 key。

香港用家要點處理

本地角度唔係港行價、上架時間,亦唔係有冇香港專屬版本,而係即時通訊已經成為工作同私人資料流動嘅主渠道。HKCERT 今年 1 月發布嘅 2026 網絡安全展望指出,香港 2025 年錄得 15,877 宗網上安全事故,按年升 27%;釣魚攻擊佔近 60%,而攻擊渠道已擴展至社交媒體同即時通訊平台。HKCERT 早前嘅流動即時通訊安全指引亦提醒,用家要理解 app 內嘅加密、私隱設定、雲端備份等功能,亦要留意釣魚連結、帳號盜用同 app 更新。

收到可疑 Signal 支援訊息,可以用一個好實際嘅 checklist 處理:

  • 唔好喺聊天入面輸入或傳送 recovery key、PIN、SMS 驗證碼、付款資料。
  • 唔好按對方提供嘅驗證、修復、同步、還原連結;要查就自己開官方 app 或官方網站。
  • 喺 Signal 入面 report and block 可疑帳號;真要聯絡支援,就用官方支援方法。
  • 檢查 Signal linked devices、registration lock、PIN 設定同 app 更新狀態。
  • 如果已經交出 recovery key,先假設備份已經唔再安全;用仍登入嘅手機檢查帳號狀態,考慮關閉並刪除 Secure Backup,再重新設定新備份同新 key。
  • 如果涉及公司、社群管理、消息來源或敏感文件,即刻通知相關 IT team 或群組管理員,因為攻擊者可能用被接管帳號再向其他人釣魚。

值得再講一次:官方 Signal Support 唔會用可互相對話嘅聊天要求你交 PIN、recovery key 或驗證碼。Signal 官方支援頁指,真正官方 Signal chat 係 view-only,並會有獨特背景同提示;如果有人喺 message request 或普通聊天入面自稱安全團隊、客服、bot、代表 Signal,要求你配合修復帳號,安全假設應該係詐騙。呢個判斷唔需要技術背景,只需要記住一條規則:任何要求你把密碼、key 或驗證碼交出聊天框嘅人,都唔係幫你保護帳號。

點睇呢件事

Secure Backups 本身係 Signal 一個合理而且必要嘅功能,因為現代人唔可能接受手機一壞就永久失去所有對話、相片同文件。但越多安全產品把責任交返用家手上,越需要清楚講明每一組 code、PIN、key 分別做乜,否則安全設計會輸畀一段寫得似官方通知嘅釣魚訊息。對香港用家同公司 IT team 嚟講,今次最實用嘅功課唔係恐慌停用 Signal,而係把 recovery key 當成保險箱鎖匙:可以寫低、可以放密碼管理器,但絕對唔可以喺任何聊天入面交出去。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook