案例背景
在数字监控时代,记者是最容易被列为"监听目标"的职业群体之一。2025年,国际公民实验室(Citizen Lab)发布调查报告,揭示了萨尔瓦多一家知名调查新闻机构《El Faro》(灯塔报)编辑部遭到国家认定别Pegasus间谍软件的系统性监控。
这不是针对某一位记者的一次性攻击,而是对整个编辑部的集体监控。至少六名《El Faro》记者被确认遭到Pegasus多次重复攻击,攻击时间跨度长达数月。攻击者的目标非常明确:获取记者手中的线人信息、调查线索、采访记录和尚未发布的调查报道内容。
核心案情梳理
Citizen Lab的技术取证显示,Pegasus攻击是通过零点击漏洞(即受害者无需点击任何链接即可被感染)植入记者手机的。一旦成功感染,攻击者可以:
读取记者手机中的所有即时通讯内容(包括加密应用的聊天记录)
实时截取通话录音和环境音(将手机变身为随身窃听器)
获取记者的定位信息、行程记录和联系人列表
访问记者的照片库、备忘录和未发布的采访文稿
在长达数月的监控期间,被攻击的记者完全不知道自己的手机已经被远程控制。他们依然用手机进行采访预约、消息收发、文件传输和文章撰写,而这些活动所产生的内容全都实时同步到了攻击者手中。
此案对企业保密工作的启示
虽然《El Faro》案的攻击对象是记者,但这套攻击逻辑在企业场景中同样适用:
首要,企业高管和核心研发人员的手机,同样是Pegasus等间谍软件的高价值目标。 他们的手机中可能有竞争对手的分析报告、未公开的产品路线图、商务谈判策略、客户敏感信息等。一名高管被远程控制一部手机,就相当于攻击者拿到了该企业的"数字钥匙"。
第二,零点击攻击使传统"不点击链接"的防范策略失效。 过去的安全培训强调"不要点击可疑链接、不要打开陌生附件",但零点击漏洞意味着,攻击者甚至不需要受害者有任何操作,就可以远程植入监控软件。
第三,感染后的隐蔽性极强。 被Pegasus感染的手机在外观上没有任何异常——电池消耗略微增加、偶尔发热、网络流量轻度上升——这些微小变化很容易被手机使用者忽略。
企业应对移动端窃听的建议
首要,对高敏岗位人员实施移动端安全审计。 CEO、CFO、CTO、核心研发人员和重大项目的负责人的手机,应当纳入定期的移动端安全检测范围,使用专业工具排查可疑进程和异常通信。
第二,建立异常手机行为的报告机制。 如果员工发现手机出现不明原因的发热、电池快速掉电、数据流量异常增长、通话时有不明噪声等现象,应当设立快捷通道供员工上报并安排检测。
第三,重要会议期间使用安全通信工具和物理隔离。 涉及商业秘密的会议,参会人员应当将个人手机留在会议室外的保管柜,或使用企业统一配发的安全设备进行通信。
第四,不要过度依赖手机本身的"安全模式"。 在国家认定监控工具面前,普通手机的安全机制难以提供有效防护。对于真正敏感的商务活动,应当考虑使用脱敏设备和有线通信。
结语
Salvador El Faro的记者们被Pegasus集体监控的案例说明,移动端窃听已经从"理论风险"变为"已经发生的现实"。对于企业而言,手机不仅是通信工具,更可能成为竞争对手安插在会议桌上的"隐形窃听器"。每一位企业管理者都应该重新审视自己的手机安全状态。
联系方式: 北京企密安信息安全技术有限公司
官网: baomiwang.com
邮箱: jess@baomiwang.com
*本文依据公开判决、权威技术报告和主流媒体报道整理,仅用于保密培训与警示教育,不构成法律意见。*
审核留痕: MIX7-20260521-06 | 草案版 | JIUWEIHU-九尾狐/市场营销实例 | 2026-05-21
