您的Signal、WhatsApp或Telegram帐户安全吗？谷歌警告称，黑客组织发起的攻击日益增多。了解他们如何窃取信息以及您可以采取哪些措施来保护自己。

谷歌威胁情报小组最近的一份报告显示，黑客组织越来越多地将Signal等安全消息应用程序作为目标，以拦截敏感通信。这些团体通常与俄罗斯情报部门结盟，专注于入侵相关人员使用的账户，包括军事人员、政客、记者和活动家。虽然最初的重点似乎与乌克兰冲突有关，但研究人员认为，这些策略将蔓延到其他地区和威胁行为者。

攻击者在此次活动中采用的主要方法是利用Signal的“链接设备”功能。他们使用网络钓鱼技术，诱骗用户扫描恶意二维码，然后将受害者的帐户秘密链接到攻击者控制的设备。这样一来，攻击者就可以实时接收所有消息，有效地窃听对话，而无需破坏整个设备。

这些恶意二维码通常会伪装成合法的Signal资源，例如群组邀请、安全警报，甚至是设备配对说明。在某些情况下，它们会被整合到专门用于模仿乌克兰军方使用的应用程序的钓鱼页面中。

在某些情况下，恶意二维码会用于近距离访问场景，例如俄罗斯军队在战场上捕获设备时。这种方法缺乏集中监控，并且可能长时间不被察觉，因此很难被发现。

一个被识别为UNC5792(也称为UAC-0195)的组织被发现修改了合法的Signal群组邀请链接。这些被修改的链接会将受害者重定向到虚假页面，从而启动未经授权的设备链接，由攻击者控制。钓鱼页面的设计与官方Signal邀请非常相似，因此很难被发现。

另一个组织UNC4221(UAC-0185)通过在模仿火炮制导应用程序的钓鱼网站中嵌入恶意二维码来攻击乌克兰军事人员。他们还使用虚假的Signal安全警报来欺骗受害者。

除了网络钓鱼之外，APT44(Sandworm)还利用恶意软件和脚本从受感染的Windows和Android设备中提取Signal消息。他们的WAVESIGN脚本会检索最近的消息，而Infamous Chisel恶意软件则会在Android设备上搜索Signal数据库文件。

Turla和UNC1151等其他组织则以桌面应用程序为目标，使用脚本和工具复制和窃取存储的消息。UNC4221还使用名为PINPOINT的JavaScript有效负载来收集用户信息和地理位置数据。

安全消息应用程序的流行使其成为对手的主要目标，WhatsApp和Telegram等其他平台也面临着类似的威胁。

研究人员警告称：“近几个月来，多个威胁行为者对Signal的重视，是对安全消息传递应用程序日益增长的威胁的重要警告，这种威胁肯定会在短期内加剧。”

因此，建议用户保持谨慎。重要的是使用强密码的屏幕锁，保持操作系统和应用程序更新，并确保启用Google Play Protect。还建议定期审核链接的设备，谨慎使用二维码和链接，并启用双因素身份验证。高风险的iPhone用户应考虑启用锁定模式。