加密诈骗「假会议连结攻击」全解析：长期防御的六条铁律

本文源自 @drawesomedoge 所着文章，由 wublockchain 整理、编译及撰稿。 （前情提要：Google Cloud警告：北韩IT间谍攻击扩大，全球企业应警惕 ） （背景补充：微软警告新恶意木马程式：锁定攻击OKX、Metamask等20种主流Web3钱包 ） 近期加密货币社群频频传出安全灾难。攻击者通过 Calendly 安排会议，传送看似正常的「Zoom 连结」，诱导受害者安装伪装的木马程式，甚至在会议中获得电脑的远端控制权。一夜之间，钱包和 Telegram 帐号被完全夺取。 本文将全面解析此类攻击的运作链与防御要点，并附上完整参考资料，便于社群转发、内部培训或自我检查使用。 攻击者的双重目标 盗取数位资产：利用 Lumma Stealer、RedLine 或 IcedID 等恶意程式，直接窃取浏览器或桌面钱包中的私钥和助记词，将 TON、BTC 等加密货币迅速转出。 窃取身份凭证：窃取 Telegram、Google 的 Session Cookie，伪装成受害者继续接触更多物件，形成雪球式扩散。 攻击链四步走 ① 铺陈信任 冒充投资人、媒体或Podcast主持人，通过 Calendly 传送正式会议邀请。例如「ELUSIVE COMET」案例中，攻击者伪装 Bloomberg Crypto 页面进行钓鱼。 ② 投放木马 伪造 Zoom 连结（非 .zoom.us 结尾）引导使用者下载恶意版本的 ZoomInstaller.exe。2023–2025 年多起事件都通过此方式植入 IcedID 或 Lumma 木马。 ③ 会议中夺权 骇客在 Zoom 会议中将暱称改为「Zoom」，请求受害者「测试共享画面」，并同时传送远端控制请求。一旦点选「允许」，装置即被完全接管。 ④ 扩散与套现 恶意程式将私钥上传后立即提币，或潜伏数日再伪装 Telegram 身份继续钓鱼他人。RedLine 特别针对 Telegram 的 tdata 目录开发定向功能。 事后急救三步骤 立即隔离装置：拔网线、关闭 Wi-Fi，使用干净的 USB 启动装置并全盘扫描；如发现 RedLine／Lumma，建议全盘格式化重灌系统。 撤销所有 Session：将加密资产转移至新的硬体钱包；Telegram 登出所有装置并启用双重验证；更换邮箱、交易所等所有密码。 同步监控链上与交易所动态：发现可疑转帐时，立即联络交易所请求冻结相关地址。 长期防御六铁律 独立会议装置：陌生会议只用不存私钥的备用笔记本或手机。 只从官网下载软体：Zoom、AnyDesk 等工具必须从官网下载macOS 建议关闭「下载后自动开启」功能。 严格核查网址：会议连结必须以 .zoom.us 结尾；Zoom Vanity URL 也必须符合规范。 三不原则：不装外挂、不给远端、不展示助记词或私钥。 冷热钱包分离：主资产使用冷钱包，并设定 PIN 和 Passphrase；热钱包仅保留小额资金。 全帐户开启 2FA：Telegram、邮箱、GitHub、交易所等全部启用双重验证。 结语：假会议的真风险 现代骇客不依赖 0-day 漏洞，而是擅长表演。他们设计「看起来很正常」的 Zoom 会议，等你一个失误。 只要你养成好习惯：隔离装置、只从官网下载、多重验证，这类攻击就很难得逞。愿每一位链上使用者都能远离社交工程陷阱，守住自己的金库与身份。 相关报导 慢雾：Cetus 被盗 2.3 亿美金事件分析 越南政府宣布禁用Telegram：打击犯罪！加密通讯不符国家安全 PoS更安全？开发者：攻击以太坊成本远超比特币的100亿美元 〈加密诈骗「假会议连结攻击」全解析：长期防御的六条铁律〉这篇文章最早发布于动区BlockTempo《动区动趋-最具影响力的区块链新闻媒体》。