「我是Signal客服」——俄羅斯駭客如何用一句話奪走你的帳號

你收到一則來自「Signal客服」的訊息，警告你帳號出現可疑存取，要求你提供驗證碼。你會怎麼做？

如果你照做了，你的帳號可能已經不再屬於你。

事件全貌：不用病毒，只靠謊言

2026年3月，荷蘭軍事情報與安全局（MIVD）及總體情報與安全局（AIVD）聯合發布報告，揭露一場針對Signal與WhatsApp用戶的「大規模全球性」駭客行動。幕後主謀被指為「俄羅斯國家行為者」，攻擊目標涵蓋世界各地的政府官員、軍事人員及記者。

這場攻擊最值得關注之處，在於它完全不依賴惡意軟體。駭客使用的武器是釣魚攻擊（phishing）與社會工程學——也就是操控人心的技術。

針對Signal，手法如下：駭客假冒Signal客服，直接向目標發送訊息，聲稱偵測到「可疑活動」、「可能的資料外洩」或「有人試圖存取您的私人資料」。一旦目標上鉤，駭客便要求提供兩樣東西：一是透過SMS發送的驗證碼（實際上是駭客自行向Signal系統請求的），二是用戶的PIN碼。取得這兩組代碼後，駭客即可在新裝置上以受害者的號碼重新註冊，完成帳號劫持。

針對WhatsApp，駭客則濫用「連結裝置」功能。他們發送惡意QR碼或連結，一旦目標掃描或點擊，駭客的裝置便與受害者的帳號綁定。與Signal不同的是，WhatsApp的這種入侵方式可能讓駭客讀取過去的訊息記錄，且受害者不會被登出帳號，可能在毫不知情的情況下持續遭到監聽。

荷蘭當局特別強調：Signal官方從不透過應用程式內部發送客服訊息。換言之，任何聲稱來自Signal客服的訊息，都是偽造的。

為何此刻格外重要

這份報告的發布時機，有其深刻的地緣政治背景。

俄烏戰爭持續膠著，俄羅斯的情報滲透行動早已超越戰場邊界，延伸至全球數位空間。荷蘭當局明確指出，此次攻擊所用的技術與俄羅斯政府駭客在烏克蘭衝突中已使用的手法高度吻合。

廣告

廣告合作

[email protected]

廣告

更關鍵的是，這次攻擊的目標不是隨機的。政府官員掌握機密決策資訊，軍事人員涉及作戰部署，記者則是輿論形成的關鍵節點。劫持這些人的通訊帳號，不只是竊取資訊，更可能用於散布假訊息、追蹤消息來源，甚至偽裝身份進行進一步滲透。

值得注意的是，Meta（WhatsApp母公司）與Signal均未就此事發表評論，俄羅斯駐美大使館也未回應採訪請求。在各方沉默之中，是荷蘭兩大情報機構選擇公開發聲。

對華人世界的意義

這場攻擊雖以歐洲為主要發聲場域，但其影響絕不限於歐洲。

在台灣，政府官員、國防相關人員及媒體記者大量使用Signal與WhatsApp進行日常溝通。台灣長期處於來自中國大陸的網路攻擊壓力之下，對於此類社會工程學攻擊的警惕性雖有提升，但「假冒官方客服」的釣魚手法仍具相當殺傷力，尤其針對不熟悉應用程式安全機制的用戶。

在香港，新聞自由空間收窄後，部分記者與公民社會人士仍依賴Signal進行敏感通訊。此類攻擊若針對香港社運或媒體人士，後果可能遠超個人帳號安全的範疇。

在東南亞華人社群，WhatsApp是商業往來與家庭聯絡的主要工具，「連結裝置」功能的濫用風險同樣存在。商業機密、財務資訊、私人對話——這些都可能在用戶毫不知情的情況下暴露。

有一點值得特別思考：中國大陸因封鎖Signal與WhatsApp，其用戶改用微信（WeChat）等本土應用程式。從某種角度看，這形成了一道「隔離牆」，使其用戶不受此次俄羅斯攻擊影響。但這並不意味著更安全——只是面對的威脅來源不同而已。

技術沒有被攻破，被攻破的是人

這是此次事件最核心、也最令人不安的啟示。

Signal的端對端加密技術本身沒有漏洞。WhatsApp的加密架構也未遭突破。駭客繞過了所有技術防線，直接攻擊最脆弱的環節——使用者的信任與判斷。

防禦之道其實並不複雜：Signal不會透過應用程式發送客服訊息；任何索取驗證碼的請求都應視為詐騙；定期檢查WhatsApp的「連結裝置」清單，發現陌生裝置立即移除；任何情況下都不要與他人分享六位數驗證碼。

知道這些，就能防範這次攻擊。問題在於，有多少人知道？