
WhatsApp 再截 NSO spyware 攻擊:高風險用戶要改邊幾個設定
今次係精準釣魚,重點落喺連結、帳號設定同手機更新
WhatsApp 今次又同 NSO Group 開火,但重點唔只係官司。Meta 旗下 WhatsApp 喺 6 月 8 日話,佢哋因用戶回報而查到一輪同 NSO 有關嘅 spear phishing,攻擊者用惡意連結引人離開 WhatsApp,仲開測試帳號同群組。WhatsApp 指控呢批動作違反美國法院去年畀 NSO 嘅永久禁制令,依家要求法院裁定 NSO 藐視法庭;NSO 暫時冇回應 TechCrunch。要留意,呢仍然係 WhatsApp/Meta 嘅指控同法院申請,未等於法院已判 NSO 今次違令。
今次唔係大規模爆鑊
要講清楚:呢唔係「所有 WhatsApp 都中招」。Pegasus 呢類商業 spyware 貴到離地,通常打記者、人權組織、政界、外交、軍事、法律同商務目標。麻煩位喺於,攻擊一旦打入手機,端對端加密就救唔到你,因為訊息到達裝置後已經可以畀惡意程式偷睇。換句話講,保護聊天室唔夠,部機同你撳連結嘅習慣都係戰場。

圖片:Meta Newsroom
NSO 官司點解重要
背景上,WhatsApp 同 NSO 條線由 2019 年開始。當年 WhatsApp 話 Pegasus 針對超過 1,400 名用戶,之後入稟告 NSO。2025 年美國陪審團一度判 NSO 要賠 1.67 億美元,法官之後將金額減到約 400 萬美元,但同時批出永久禁制令,禁止 NSO 再針對 WhatsApp 同用戶。美國商務部早喺 2021 年已將 NSO 放入 Entity List,理由係相關 spyware 曾畀外國政府用嚟惡意針對官員、記者、商界人士、社運人士同大使館人員。

圖片:Meta Newsroom
WhatsApp 喺香港點解值得理
香港冇資料顯示有今次受害者,呢點要講清楚。但 WhatsApp 喺香港太常用,工作群、客戶資料、採訪線人、董事會文件、NGO 協作好多都靠佢流轉;高風險唔一定等於名人,處理敏感資料嘅人都要當自己有機會畀人度身訂造釣魚。最典型嘅訊號係:對方語氣似熟人,但忽然叫你去外部網站睇直播、文件、活動報名或者新聞稿,仲催你即刻撳。
幾個設定,唔使等出事先做
- 開 Strict Account Settings:WhatsApp 設定 > 私隱 > 進階。Meta 話呢個模式會封鎖陌生人附件同媒體、靜音陌生來電,並收緊其他私隱同安全選項;高風險人士可以先開,接受少少功能限制。
- 開兩步驗證同安全通知:Strict mode 會一併處理部分設定,但一般用戶都應該確認 PIN 同 security code change 通知有開。
- 更新手機同 app:iOS、Android、WhatsApp、瀏覽器全部要 keep 住更新;spyware 最鍾意打舊漏洞。
- 唔好逐條 domain 自己試:WhatsApp 公開咗 threat indicators,但你要做嘅係將可疑連結交畀公司 IT 或安全團隊,唔係用自己部機開嚟研究。
- 高風險再開系統級保護:iPhone 可以考慮 Lockdown Mode;Android 可以睇 Advanced Protection。呢類模式會犧牲便利,但對針對式攻擊有幫助。
我點睇
WhatsApp 呢次公告最有價值嘅地方,係將商業 spyware 拉返去日常安全習慣。攻擊者唔一定等漏洞自己爆,佢哋會先扮人、開群、試訊息、睇你會唔會離開 app。平台要繼續封帳號、公開指標同打官司;用戶呢邊,就係減少外部連結、未知附件同陌生來電可以碰到你嘅機會。你未必係 Pegasus 目標,但同一套防線,對一般釣魚同帳號接管一樣有用。
參考來源
- TechCrunch — WhatsApp says it caught new spyware attacks linked to NSO Group in violation of court order — original report
- Fighting Spyware: An Update From WhatsApp — Meta 官方公告,確認 spear phishing、測試帳號、threat indicators 同 contempt 申請。
- WhatsApp Strict Account Settings: Safeguarding Against Cyber Attacks — 官方功能說明,確認 Strict Account Settings 嘅作用同路徑。
- Final judgment for WhatsApp LLC et al. v. NSO Group Technologies Limited et al. — 法院文件背景,確認永久禁制令同約 400 萬美元損害賠償。
- Commerce Adds NSO Group and Other Foreign Companies to Entity List for Malicious Cyber Activities — 美國商務部官方背景,確認 NSO 入 Entity List 嘅原因。
- How Pegasus spyware crushes civic space in Jordan — 可信背景報告,說明 Pegasus 點樣用 one-click / zero-click 攻擊針對民間社會人士。
- Lockdown Mode security for Apple devices — Apple 官方資料,補充高風險 iPhone 用戶可用嘅系統級保護。
- Improve device security with Advanced Protection — Google 官方資料,補充 Android Advanced Protection 背景。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







