当加密成为标配,安全是否就真的万无一失?荷兰情报部门的最新警告给出了否定的答案。
2026年3月,荷兰军事情报局(MIVD)与总情报安全局(AIVD)联合发布紧急通告,揭露了一场由俄罗斯国家主导的大规模网络攻击行动。攻击者并未利用复杂的漏洞技术,而是通过社会工程学手段,精准针对政府官员、军人及记者使用的消费级即时通讯应用。荷兰政府员工已确认成为受害者。
这场攻击的手法极其隐蔽且高效。攻击者伪装成平台客服,以“可疑活动”或“数据泄露”为由,诱导受害者主动交出短信验证码和PIN码。另一种手段则利用消费级应用便捷的“多设备登录”功能,攻击者通过诱导用户扫描二维码,即可在另一台设备上登录并获取历史聊天记录。受害者往往毫无察觉,账号便已完全失守。
问题的根源不在于加密技术本身,而在于消费级应用的底层架构。这类应用为了追求用户体验,默认采用“手机号+验证码”的简单认证方式,且设备注册完全由用户自助完成。这种设计在面向十亿级用户的消费市场中是合理的,但在涉及国家机密或敏感信息的场景中,却构成了致命的安全缺口。没有经过严格身份核验,也没有对设备进行管控,相当于把大门钥匙直接放在了门外。
这并非孤例。早在2025年,谷歌威胁情报部门就发现俄罗斯黑客对乌克兰军方使用了相同的战术。如今,荷兰的通告证实,这些战术已被大规模应用于针对北约政府目标。参与攻击的包括APT44(Sandworm)和UNC5792等受俄罗斯直接指挥的黑客组织。
真正的安全通信需要两层防护:第一层是通道加密,确保信息传输和存储的安全;第二层则是身份与设备完整性,确保发送者身份真实且设备受控。消费级应用解决了第一层,却完全缺失第二层。正如荷兰军情总监彼得·里斯尼克所言,即便有端到端加密,消费级应用也不应作为敏感信息的传输渠道。
对于全球行业从业者而言,这一事件敲响了警钟。随着地缘政治紧张局势加剧,针对关键基础设施和政府机构的网络攻击正从“技术突破”转向“人性弱点”的利用。中国企业出海或处理敏感业务时,必须摒弃“加密即安全”的误区,选择具备企业级身份管理和设备管控能力的专业安全通信平台。在对抗性环境中,安全架构的基因决定了最终的防线是否牢固。