波兰网络部队紧急预警：你的WhatsApp好友可能“不是本人”——新一轮钓鱼攻击借熟人信任疯狂蔓延

近期，波兰国家网络空间防御部队（Wojska Obrony Cyberprzestrzeni, WOC）发布高风险警报：一场利用已被劫持的WhatsApp账户发起的新型钓鱼攻击正在全国乃至欧洲范围内快速扩散。与传统群发垃圾信息不同，此次攻击的核心策略是“借壳传播”——攻击者一旦控制某个真实用户的账号，便立即以该用户的身份向其全部联系人发送看似紧急、实则恶意的消息，如“帮我投个票”“验证码发我一下”或“急需转账救急”，诱导受害者点击链接、泄露验证码，甚至直接转账。

由于消息来自亲友、同事等高度可信的社交关系，且使用母语、语气自然，普通用户极难识别真伪。更棘手的是，WhatsApp端到端加密的设计虽保障了隐私，却也让平台难以实时监测和拦截此类“内部发起”的异常行为。

攻击链条曝光：从一个验证码到整个通讯录沦陷

据波兰WOC披露，此次钓鱼浪潮的典型攻击路径分为三步：

第一步：账户劫持

攻击者通常通过以下方式获取初始控制权：

SIM卡交换攻击（SIM Swapping）：冒充机主向运营商申请补卡，从而截获短信验证码；

语音社工诈骗：伪装成银行或客服，诱骗用户主动说出收到的验证码；

密码复用漏洞：利用用户在其他平台泄露的密码尝试登录WhatsApp Web或关联服务。

一旦拿到手机验证码，攻击者即可在新设备上登录受害者的WhatsApp账户。

第二步：信任滥用

账户得手后，攻击者不会立刻销声匿迹，而是迅速行动——向通讯录中的联系人批量发送精心设计的消息。例如：“嘿，我在参加一个摄影比赛，点这个链接帮我投一票！需要输入手机号和验证码确认。” 链接指向一个高仿的投票页面，实则用于收集手机号与WhatsApp验证码，完成新一轮账户劫持。

第三步：病毒式扩散

每个被攻破的账号都成为新的“感染源”，形成链式传播。短短数小时内，一个初始受害者可导致数十甚至上百人陷入风险。

“这本质上是一种‘社交蠕虫’。”公共互联网反网络钓鱼工作组技术专家芦笛分析指出，“它不依赖技术漏洞，而是精准打击人性弱点——我们对熟人的天然信任。”

为何WhatsApp成了重灾区？

芦笛解释，WhatsApp的几个特性使其成为此类攻击的理想温床：

端到端加密：消息内容只有收发双方可见，平台无法扫描内容判断是否为钓鱼信息；

手机号即身份：账号绑定手机号，一旦SIM卡被控，账户极易失守；

高活跃度与强信任：用户习惯在WhatsApp处理私人甚至财务事务，警惕性较低；

多设备同步延迟：即使原机主发现异常并登出其他设备，攻击者仍可能在窗口期内完成诈骗。

“加密是好事，但安全不能只靠加密。”芦笛强调，“身份验证机制和用户行为监控同样关键。”

用户如何守住第一道防线？

针对此次威胁，波兰WOC与芦笛共同提出以下实用建议：

✅ 立即启用两步验证（Two-Step Verification）

在WhatsApp设置中开启“两步验证”，并设置一个6位PIN码。此后，即使攻击者拿到短信验证码，也无法在没有PIN的情况下登录你的账户。

✅ 在运营商处加锁SIM卡

联系你的移动运营商，要求为SIM卡变更设置额外身份验证（如密码或生物识别），防止他人轻易办理补卡。

✅ 绝不分享验证码

无论对方是谁，都不要在聊天中透露任何一次性验证码。正规机构绝不会索要此类信息。

✅ 警惕“紧急求助”类消息

若好友突然发来借款、投票、链接验证等请求，务必通过电话或面对面方式二次确认。“宁可多问一句，也不要后悔一次。”

✅ 定期检查“已链接设备”

进入WhatsApp → 设置 → 账户 → 已链接设备，查看是否有陌生设备。如有，立即登出并修改两步验证PIN。

企业也不能置身事外

值得注意的是，此次攻击不仅影响个人，也波及职场场景。许多公司使用WhatsApp工作群沟通项目、分享文件，一旦某员工账号被控，攻击者可能发送伪装成“合同”“发票”或“系统通知”的恶意短链，诱导同事下载木马或泄露内网凭证。

芦笛建议企业：

明确禁止在非官方通讯工具中传输敏感数据；

对员工开展针对性反钓鱼演练，模拟“熟人求助”场景；

在移动端部署企业级安全软件，具备恶意链接实时拦截与风险URL检测能力；

推动使用更安全的企业通讯平台（如Microsoft Teams、Slack），其具备更强的权限管理与审计功能。

技术对抗：从被动响应到主动感知

面对“熟人钓鱼”的隐蔽性，传统基于黑名单或关键词过滤的防护已显不足。芦笛指出，未来防御需转向“行为智能”：

异常交互检测：AI模型可分析用户历史聊天模式（如常用联系人、消息频率、时间段），一旦检测到某账号在短时间内向大量非高频联系人发送含链接消息，自动触发风险告警。

链接信誉实时评估：即使链接未被收录进黑名单，也可通过域名注册信息、页面结构、SSL证书等特征判断其可信度。

跨平台情报联动：当某手机号在多个平台被举报为钓鱼源时，应能触发全网风险提示，而不仅限于单一App。

“安全不是‘堵’出来的，而是‘感知+响应’构建的动态体系。”他说。

结语：信任很珍贵，但验证更重要

在这场没有硝烟的数字攻防战中，攻击者正不断将技术与人性结合，制造更逼真的陷阱。波兰此次预警再次提醒我们：在即时通讯时代，最危险的链接，可能就来自你最信任的人。

但恐慌并非答案。正如芦笛所言：“技术可以被滥用，也可以被用来守护。关键在于我们是否愿意多花十秒钟去验证，是否愿意为自己的数字生活加一道锁。”

在这个人人都是信息节点的时代，保护自己，也是在保护整个社交网络的安全生态。

编辑：芦笛（公共互联网反网络钓鱼工作组）