文章描述的 Signal 备份密钥网络钓鱼攻击是什么？

这是一种网络钓鱼活动，攻击者冒充 Signal 客服，诱骗用户泄露其 64 位字符的备份恢复密钥，从而获取加密消息存档的访问权限。

骗子是如何假扮 Signal 客服来窃取恢复密钥的？

他们通过短信、社交媒体，甚至 Signal 本身联系用户，利用关于账户验证或安全问题的紧急消息来骗取密钥。

一旦攻击者拿到我的 Signal 备份恢复密钥，能做什么？

他们可以独立下载并解密你的备份存档，完全获取所有消息、联系人和附件，而你收不到任何通知。

Signal 会发送消息索要我的 PIN 或恢复密钥吗？

不会，Signal 已确认它永远不会通过电话、短信或社交媒体主动联系用户，也绝不会索要 PIN 或恢复密钥。

为什么被盗的备份恢复密钥比泄露的密码更危险？

它绕过了双因素认证和登录提醒等保护措施，可以离线解密存档数据，而不会触发任何安全检查。

Signal 备份密钥网络钓鱼攻击瞄准消息存档

新一轮网络钓鱼攻击正以一种格外有效的方式瞄准 Signal 用户：犯罪分子冒充 Signal 客服，诱骗用户交出备份恢复密钥，从而让攻击者完全掌控受害者的加密消息存档。这场 Signal 备份密钥网络钓鱼攻击活动揭示了一个关于安全通讯应用的残酷真相：技术本身在数学上可能坚不可摧，但使用它的人却始终脆弱。

这并不是 Signal 加密机制的缺陷。它提醒我们，社会工程学手段始终领先于技术防御，而且即使是最具安全意识的用户，在面对一个听起来可信的来源索要凭证时，也可能放松警惕。

Signal 客服冒充骗局是如何运作的

这种攻击遵循着熟悉的网络钓鱼套路，只是目标的价值异常高。攻击者通过短信、社交媒体，甚至 Signal 本身联系 Signal 用户，伪装成 Signal 客服人员。这些信息通常将请求包装得很紧急，比如账号验证、安全问题或必要的备份迁移。

其目的始终如一：骗取受害者手里那串 64 位字符的备份恢复密钥。Signal 的安全备份功能使用该密钥加密消息存档，而密钥绝不会与 Signal 自己的服务器共享。这种设计本意是保护用户隐私，在这种情境下却成了一种负担，因为这串密钥成了阻挡攻击者获取某人完整可读消息历史的唯一屏障。

一旦攻击者拿到恢复密钥，他们就能独立下载并解密备份存档，无需任何进一步的身份验证。结果就是完全获取存档中的每一条消息，包括联系人、群聊和附件，而受害者对此一无所知。

Signal 已公开确认，它绝不会通过电话、短信或社交媒体主动联系用户，也绝不会索要 PIN 码或恢复密钥。这项政策很明确，但在一条措辞极具说服力的消息中，很容易被忽视。

为什么被盗的备份密钥比泄露的密码更危险

大多数人都明白，密码被盗很严重。但很少有人意识到，被盗的备份恢复密钥可能更糟，因为它几乎绕过了所有现代账户保护层。

当攻击者窃取密码时，他们仍可能面临潜在障碍：双因素认证、登录提醒、设备验证或账户锁定。而备份恢复密钥则无需通过这些关卡。它是一个静态的加密凭证，可以直接解密存档数据。攻击者无需触碰你的账户、手机号或活跃会话。破坏行为是离线、悄无声息地完成的，而且通常不会给受害者任何通知。

这就是为什么 Signal 用户越来越多地通过与应用加密本身无关的手段遭到入侵。加密本身是可靠的，问题在于用户被操控，交出了保护加密的密钥。

对比一下针对德国官员、与俄罗斯有关联的 Signal 网络钓鱼活动。在那起事件中，国家背景的攻击者使用了同样的基本手法，冒充可信实体来获取 Signal 通讯的访问权。攻击者的技术水平在变，但被利用的漏洞始终不变：人的信任。

这些攻击揭示了仅依赖加密通讯工具的风险

Signal 备份密钥网络钓鱼攻击的持续性和有效性，暴露了人们对安全通讯工具认知上的一个更广泛问题。强加密营造出一种安全感，但这种安全感并不总能延伸到周围的安全操作习惯。

那些因为加密而使用 Signal 的用户，往往在账户管理习惯、备份设置，以及如何响应突如其来的客服请求上，审慎程度会降低。这个缺口正是攻击者所利用的。应用本身成了整个安全策略，而非更广泛防御体系中的一个环节。

类似的模式已在其他通讯平台出现。导致数百万用户记录暴露的 WhatsApp 凭证泄露事件遵循了类似的逻辑：平台的安全功能并非薄弱点，用户凭证和账户管理习惯才是。

这并不意味着加密通讯工具不值得使用。它们绝对值得。这意味着加密是底线，而非天花板，用户需要在此基础上建立安全习惯。

实用防御措施：多因素认证、VPN 与识别社会工程学危险信号

要保护自己免受 Signal 备份密钥网络钓鱼的侵害，既需要技术措施，也需要转变应对主动联系的方式。

从检查你的 Signal 备份设置开始。如果你使用了 Signal 的安全备份功能，请像对待主密码一样对待你的 64 位恢复密钥：离线存储，放在安全的地方，绝不要与任何人分享，无论请求以何种形式出现。Signal 的客服绝不会索要它。

启用 Signal PIN 和注册锁，防止他人在新设备上未经授权重新注册你的账户。这并不能直接保护你的备份密钥，但可以堵住另一条常见的攻击路径。

在 Signal 之外，与你 Signal 账户关联的手机号或邮箱所绑定的各项账户，都应启用多因素认证。由于 Signal 使用手机号注册，SIM 卡交换攻击或手机号被盗都可能带来额外风险。基于令牌的认证能给试图通过关联服务劫持账户的攻击者增加一道有意义的障碍。

在家庭网络以外的网络使用 VPN，通过掩盖你的流量、降低设备和浏览活动对潜在攻击者（在进行针对性钓鱼前实施侦察的人）的可见性，增加一层防护。

不过，最重要的防御手段，是对主动联系保持怀疑态度。任何声称来自 Signal 客服，要求你验证凭证、确认恢复密钥，或点击链接以解决账户问题的消息，都应默认视作网络钓鱼尝试。合法的客服系统不会这样运作。

这对你意味着什么

Signal 备份密钥网络钓鱼攻击活动是一个具体的提醒：无论设计得多么精良，没有一款工具能完全保护那些未养成相关安全习惯的用户。Signal 的加密依然强大，风险在于加密密钥的管理和保护方式。

现在就花时间检查你的 Signal 设置，确认备份恢复密钥的存储位置，并审视你更广泛的账户安全态势。将这一认知分享给你关系网络中那些使用 Signal 的人，尤其是不太关注安全动态的人。社会工程学对付那些毫无防备的人最有效。