你以为来自政府部门的紧急警报一定可信?最新研究告诉你:未必。2026年5月6日,安全研究人员在 Help Net Security 披露了一项令人不安的发现——攻击者仅需一台普通笔记本电脑加软件定义无线电(SDR)硬件,即可在5G网络上伪造灾难紧急警报,欺骗用户点击钓鱼链接或泄露敏感信息。
攻击原理:广播协议的先天缺陷
5G公共预警系统(Public Warning System)采用广播模式向地理区域内所有手机发送紧急警报(地震、海啸、极端天气等)。问题的根源在于:警报信号无需任何身份认证——设备不会核实信号来源的合法性,只要"听到"信号就会直接显示内容。
攻击流程如下:攻击者部署流氓基站信号,若目标手机已连接合法网络,则先干扰断开其连接;手机自动搜索新基站时,会接入伪造信号;设备在完成任何认证之前即显示伪造警报,其中包含可点击的钓鱼链接;用户解锁手机的动作会直接触发链接跳转,无需额外确认。
这些设备额外危险
实验发现,多款主流设备均受影响,但以下设备存在额外风险:
- 三星(Samsung):系统可将西里尔字母构造的欺骗性URL识别为可点击链接,如"gооgle.com"(字母为西里尔字符,与google.com几乎无法肉眼区分);
- Nothing Phone:存在同样的西里尔字母URL识别漏洞。
此外,所有测试设备均可识别并自动打开短链接(缩短URL)、电子邮件地址和电话号码——用户根本无法预判真实目标。
为何难以识别?
这类攻击之所以危险,在于它精准利用了人们对紧急警报的天然信任感:
- 伪造警报以系统级通知形式呈现,外观与真实警报完全一致;
- 解锁手机的动作本身成为攻击触发器——用户在毫无察觉的情况下访问钓鱼网站;
- 短链接隐藏真实目的地,URL预览完全失效;
- 攻击者可连续发送多条警报,制造紧迫感和恐慌心理,诱使用户仓促点击。
识别信号(供参考)
真实官方紧急警报通常:
- 不包含可点击链接;
- 不要求用户立即拨打电话或点击外部链接;
- 内容以官方机构名称署名,不含非官方联系信息。
反之,如果警报中出现可点击链接或要求你立即操作,应高度警惕。
企业与个人的防范建议
个人用户:
- 收到含链接的紧急警报时,先冷静,再核实——主动访问政府官网或官方新闻媒体确认;
- 解锁手机时留意是否有页面自动打开,如有异常立即关闭;
- 不拨打警报中的陌生号码;
- 保持系统和安全补丁最新。
企业安全团队:
- 将"伪造紧急警报钓鱼"纳入安全意识培训课程,尤其针对灾害多发地区员工;
- 通过移动设备管理(MDM)策略限制设备在接收警报后的自动行为,如禁止自动打开外部链接;
- 部署移动威胁防御(MTD)解决方案,检测异常基站信号和流氓网络;
- 制定应急响应预案,明确员工收到紧急警报时的标准操作流程;
- 重点关注三星、Nothing 等存在额外漏洞的设备品牌的安全更新。
写在最后
这一攻击的本质是把"信任通道"武器化——攻击者并不需要破解任何加密或绕过任何认证,他们只是利用了人们对紧急警报天然不设防的心理。由于根植于5G广播协议的设计层面,短期内难以从根本上修复。提升用户安全意识,是当前最有效的防线。企业应尽快将这类攻击手法纳入年度安全培训,员工的一次冷静判断,可能就是一次成功的防御。