文章总结： 德国BfV与BSI发布联合通告，披露疑似国家支持的黑客针对欧洲军方人员、外交官及记者实施Signal账户钓鱼与监控。攻击未使用恶意软件或漏洞，而是通过社会工程滥用Signal合法安全功能：一是伪装官方支持骗取PIN或验证码接管账户，二是诱导扫描二维码绑定设备实施长期监控。德方评估此举具有显著国家安全风险，真正威胁在于通过入侵高价值账户重建社交与工作关系网络，获取结构性情报。事件揭示现代安全通信工具在便利性与认知安全间的结构性张力，表明人本身正成为最关键攻击面。 综合评分： 88 文章分类： 威胁情报,社会工程学,安全意识,安全运营,漏洞分析

军人和记者成为首要目标：国家支持的黑客如何渗透并监听Signal通信

原创

网空闲话 网空闲话

网空闲话plus

2026年2月9日 07:06 北京

2026年2月6日至7日，德国联邦宪法保卫局（BfV）与德国联邦信息安全局（BSI）发布联合安全通告，多家安全媒体同步披露并深入分析：一个疑似由国家控制的网络行为体，正在欧洲范围内针对军方人员、外交官、政治人物及调查记者，系统性地实施Signal账户钓鱼与监控行动。不同于传统网络攻击，这一行动未使用恶意软件，也未利用任何技术漏洞，而是通过社会工程手段，滥用Signal及类似通信工具的合法安全功能，在受害者几乎无感知的情况下获取通信内容、联系人结构和群组关系。德方安全机构明确警告，此类攻击的危害不止于个人隐私泄露，更可能通过群组和联系人网络，撬动整个政治、军事或媒体生态中的关键通信体系。正因如此，该行动被评估为具有显著国家安全风险。

一、德国情报与网络安全机构的联合披露

这次警告并非源于单一技术事故，而是基于BfV与BSI掌握的多起现实攻击案例。在联合通告中，两家机构指出，它们已观察到一场持续进行的钓鱼行动，攻击者通过即时通信软件直接接触目标人物，手法高度一致，目标选择高度集中。

通告强调，受影响人群并非随机用户，而是“来自政治、军事与外交领域的高价值目标，以及调查记者”，且覆盖德国本土与欧洲其他国家。这一目标画像本身，已明显超出普通网络犯罪的范畴。

二、攻击思路的根本变化：不碰系统，只动人心

在技术层面，这场行动的“反常”之处恰恰在于它几乎不具备传统意义上的攻击特征。

BfV与BSI明确指出，攻击者没有部署恶意代码，也没有利用软件漏洞，而是“利用应用程序的合法安全机制，并将其与社会工程学相结合”。

换言之，Signal的加密机制本身并未被破解，真正被“突破”的，是用户对官方支持渠道、设备绑定流程以及安全提示的信任判断。这使得攻击可以绕过防病毒软件、EDR等几乎所有技术防护手段，直接发生在用户操作层。

三、两条路径，同一个目标：账户与关系网的控制

第一条路径：假冒“官方支持”的账户接管

在第一种已确认的攻击方式中，攻击者伪装成“Signal Support”或“Signal Security ChatBot”，直接向目标发送私信，通常以“检测到异常活动”“存在数据丢失风险”为由制造紧迫感。

一旦受害者按要求提供PIN或通过短信收到的验证码，攻击者即可在其控制的设备和号码上重新注册该账户。 根据联合通告，攻击成功后，攻击者能够持续接收新消息、访问联系人与群组信息，并以受害者身份发送消息，但无法读取攻击发生前的历史聊天内容。与此同时，受害者本人则会失去账户访问权限，甚至被诱导重新注册新账号，从而掩盖入侵痕迹。

第二条路径：更隐蔽的二维码设备关联监控

第二种方式更为隐蔽，也更具情报价值。攻击者利用Signal和WhatsApp等应用提供的多设备关联功能，以“加入群组”“验证设备”等理由，诱导目标扫描二维码。

从技术上看，这一过程完全合法。但结果是，攻击者控制的设备被成功绑定到账户上，从而获得对联系人、群组以及所有新消息的持续访问权，并额外读取最近45天的聊天记录。

由于受害者的主设备仍可正常使用，监控行为往往会持续数周而不被察觉。

四、为何指向国家行为体：目标、耐心与情报价值

在“评估”部分，BfV与BSI明确指出，尽管该攻击方式技术门槛不高，理论上也可能被非国家行为者模仿，但结合当前已知案例，幕后操作者“很可能是国家控制的网络行为体”。

支撑这一判断的关键并不在于技术复杂度，而在于：

目标高度集中于政治与安全体系的核心节点；

攻击并不追求即时经济收益；

行动重点在于长期监控、关系梳理和网络映射。

这些特征，均更符合情报机关的运作逻辑，而非普通网络犯罪。

五、真正的风险不在聊天内容，而在“网络被看见”

联合通告反复强调，单条信息的泄露并非最大威胁。真正的风险在于，成功入侵一个高价值账户后，攻击者可以重建完整的社交与工作关系网络。

通过群组结构、联系人频率与对话对象，攻击者能够判断：谁在关键决策链条中；谁与谁保持高频沟通；哪些人是潜在的进一步渗透入口。

在军事、外交或调查报道领域，这类结构性情报本身就具有极高价值，即便不读取全部内容，也足以支撑后续更深层的行动。

六、这不是Signal独有的问题，而是一类系统性风险

BfV与BSI在通告中明确指出，由于功能设计相似，WhatsApp等同样支持设备关联和PIN验证的通信工具，也可能遭遇相同攻击路径。

这意味着，问题并不源于某个应用的“失误”，而是现代安全通信工具在便利性与人因安全之间的结构性张力。

当合法功能被设计为“尽可能易用”，它们也就不可避免地成为社会工程攻击的理想载体。

七、警示：安全正在向认知层迁移

联合通告给出的防护建议看似简单，却直指核心：

真正的Signal官方支持不会主动私聊用户；

PIN永远不应以明文形式发送；

二维码只应在你主动添加设备时扫描；

“已关联设备”列表需要被视为常态化检查项。

更深一层的警示在于：在国家级对抗背景下，“合法操作”本身正在被武器化。 安全不再只是系统是否加密、算法是否可靠的问题，而是用户是否能在关键时刻做出正确判断的问题。

结语

这起针对Signal的行动，并不是一次普通的钓鱼事件，而是一场以信任为突破口、以合法功能为工具的国家级渗透实验。它所揭示的，不只是某种攻击手法，而是一个正在成形的现实：当漏洞不再必要、恶意代码不再出现，人本身，正在成为最关键的攻击面。

参考资源

1、https://cybersecuritynews.com/hackers-state-actors-target-signal-messages-of-military-officials/

2、https://thehackernews.com/2026/02/german-agencies-warn-of-signal-phishing.html

3、https://www.verfassungsschutz.de/SharedDocs/kurzmeldungen/DE/2026/2026-02-06-gemeinsamer-sicherheitshinweis-phishing.html

4、https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2026/202602_BfV_BSI.pdf?__blob=publicationFile&v=3

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《军人和记者成为首要目标：国家支持的黑客如何渗透并监听Signal通信》