HackerNews 编译,转载请注明出处:
美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)周五表示,与俄罗斯情报机构有关联的威胁行为者正在开展网络钓鱼活动,试图入侵 WhatsApp 和 Signal 等商业消息应用程序(CMA),以控制具有高情报价值人员的账户。
FBI 局长卡什・帕特尔在 X 平台(原推特)上发文称:“此次活动的目标是具有高情报价值的人员,包括现任和前任美国政府官员、军事人员、政治人物和记者。在全球范围内,这一行动已导致数千个个人账户遭到未经授权的访问。攻击者获得访问权限后,能够查看消息和联系人列表,以受害者的身份发送消息,并利用受信任身份开展更多网络钓鱼活动。”
CISA 和 FBI 称,这一活动已致使数千个个人 CMA 账户遭到入侵。值得注意的是,这些攻击旨在侵入目标账户,并非利用安全漏洞或弱点来破解平台的加密保护。
虽然这些机构并未将该活动归咎于某个特定的威胁行为者,但微软和谷歌威胁情报小组此前的报告已将此类活动与多个与俄罗斯有关的威胁组织联系起来,这些组织包括 “星暴”(Star Blizzard)、UNC5792(又名 UAC – 0195)以及 UNC4221(又名 UAC – 0185)。
法国国家网络安全局(ANSSI)下属的网络危机协调中心(C4)也曾发布类似警报,警告针对政府官员、记者和企业领导人即时通讯账户的攻击活动激增。
C4 表示:“这些攻击一旦成功,恶意行为者就能访问聊天记录,甚至控制受害者的消息账户,并以受害者的身份发送消息。”
此次活动的最终目的是让威胁行为者未经授权访问受害者账户,从而查看消息和联系人列表,代受害者发送消息,甚至通过滥用信任关系对其他目标进行二次网络钓鱼。
正如德国和荷兰的网络安全机构近期所警告的,此次攻击中,攻击者冒充 “Signal 支持” 人员接近目标,敦促他们点击链接(或扫描二维码),或提供 PIN 码或验证码。无论哪种方式,这种社会工程手段都能让威胁行为者获取受害者的 CMA 账户访问权。
不过,根据受害者所采用的不同方式,此次活动会产生两种不同结果:
- 如果受害者选择向威胁行为者提供 PIN 码或验证码,他们将失去账户访问权,因为攻击者已用其在自己端恢复账户。虽然威胁行为者无法访问过往消息,但这种方法可用于监控新消息,并冒充受害者向他人发送消息。
- 如果受害者最终点击链接或扫描二维码,受威胁行为者控制的设备就会与受害者账户关联,使其能够访问所有消息,包括过去发送的消息。在这种情况下,除非受害者在应用设置中被明确移除,否则他们仍可继续访问 CMA 账户。
为更好地防范此类威胁,建议用户切勿与任何人分享短信验证码或验证 PIN 码,收到来自未知联系人的意外消息时要谨慎,点击链接前先检查,定期查看已关联设备,并移除可疑设备。
Signal 本月早些时候在 X 平台上发文称:“这些攻击和所有网络钓鱼一样,依赖社会工程手段。攻击者冒充可信联系人或服务(比如虚构的‘Signal 支持机器人’),诱骗受害者交出登录凭证或其他信息。”
“为防止此类情况发生,请记住,只有在首次注册 Signal 应用程序时才需要短信验证码。我们还要强调,Signal 支持人员绝不会通过应用内消息、短信或社交媒体主动联系您,索要验证码或 PIN 码。如果有人索要与 Signal 相关的任何代码,那就是诈骗。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文