加密詐騙「假會議連結攻擊」全解析：長期防禦的六條鐵律

本文源自 @drawesomedoge 所著文章，由 wublockchain 整理、編譯及撰稿。 （前情提要：Google Cloud警告：北韓IT間諜攻擊擴大，全球企業應警惕 ） （背景補充：微軟警告新惡意木馬程式：鎖定攻擊OKX、Metamask等20種主流Web3錢包 ） 近期加密貨幣社群頻頻傳出安全災難。攻擊者通過 Calendly 安排會議，傳送看似正常的「Zoom 連結」，誘導受害者安裝偽裝的木馬程式，甚至在會議中獲得電腦的遠端控制權。一夜之間，錢包和 Telegram 帳號被完全奪取。 本文將全面解析此類攻擊的運作鏈與防禦要點，並附上完整參考資料，便於社群轉發、內部培訓或自我檢查使用。 攻擊者的雙重目標 盜取數位資產：利用 Lumma Stealer、RedLine 或 IcedID 等惡意程式，直接竊取瀏覽器或桌面錢包中的私鑰和助記詞，將 TON、BTC 等加密貨幣迅速轉出。 竊取身份憑證：竊取 Telegram、Google 的 Session Cookie，偽裝成受害者繼續接觸更多物件，形成雪球式擴散。 攻擊鏈四步走 ① 鋪陳信任 冒充投資人、媒體或Podcast主持人，通過 Calendly 傳送正式會議邀請。例如「ELUSIVE COMET」案例中，攻擊者偽裝 Bloomberg Crypto 頁面進行釣魚。 ② 投放木馬 偽造 Zoom 連結（非 .zoom.us 結尾）引導使用者下載惡意版本的 ZoomInstaller.exe。2023–2025 年多起事件都通過此方式植入 IcedID 或 Lumma 木馬。 ③ 會議中奪權 駭客在 Zoom 會議中將暱稱改為「Zoom」，請求受害者「測試共享畫面」，並同時傳送遠端控制請求。一旦點選「允許」，裝置即被完全接管。 ④ 擴散與套現 惡意程式將私鑰上傳後立即提幣，或潛伏數日再偽裝 Telegram 身份繼續釣魚他人。RedLine 特別針對 Telegram 的 tdata 目錄開發定向功能。 事後急救三步驟 立即隔離裝置：拔網線、關閉 Wi-Fi，使用乾淨的 USB 啟動裝置並全盤掃描；如發現 RedLine／Lumma，建議全盤格式化重灌系統。 撤銷所有 Session：將加密資產轉移至新的硬體錢包；Telegram 登出所有裝置並啟用雙重驗證；更換郵箱、交易所等所有密碼。 同步監控鏈上與交易所動態：發現可疑轉帳時，立即聯絡交易所請求凍結相關地址。 長期防禦六鐵律 獨立會議裝置：陌生會議只用不存私鑰的備用筆記本或手機。 只從官網下載軟體：Zoom、AnyDesk 等工具必須從官網下載macOS 建議關閉「下載後自動開啟」功能。 嚴格核查網址：會議連結必須以 .zoom.us 結尾；Zoom Vanity URL 也必須符合規範。 三不原則：不裝外掛、不給遠端、不展示助記詞或私鑰。 冷熱錢包分離：主資產使用冷錢包，並設定 PIN 和 Passphrase；熱錢包僅保留小額資金。 全帳戶開啟 2FA：Telegram、郵箱、GitHub、交易所等全部啟用雙重驗證。 結語：假會議的真風險 現代駭客不依賴 0-day 漏洞，而是擅長表演。他們設計「看起來很正常」的 Zoom 會議，等你一個失誤。 只要你養成好習慣：隔離裝置、只從官網下載、多重驗證，這類攻擊就很難得逞。願每一位鏈上使用者都能遠離社交工程陷阱，守住自己的金庫與身份。 相關報導 慢霧：Cetus 被盜 2.3 億美金事件分析 越南政府宣布禁用Telegram：打擊犯罪！加密通訊不符國家安全 PoS更安全？開發者：攻擊以太坊成本遠超比特幣的100億美元 〈加密詐騙「假會議連結攻擊」全解析：長期防禦的六條鐵律〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。