近期加密貨幣社群頻頻傳出安全災難。攻擊者通過 Calendly 安排會議,傳送看似正常的「Zoom 連結」,誘導受害者安裝偽裝的木馬程式,甚至在會議中獲得電腦的遠端控制權。一夜之間,錢包和 Telegram 帳號被完全奪取。
本文將全面解析此類攻擊的運作鏈與防禦要點,並附上完整參考資料,便於社群轉發、內部培訓或自我檢查使用。
攻擊者的雙重目標
攻擊鏈四步走
① 鋪陳信任
冒充投資人、媒體或Podcast主持人,通過 Calendly 傳送正式會議邀請。例如「ELUSIVE COMET」案例中,攻擊者偽裝 Bloomberg Crypto 頁面進行釣魚。
② 投放木馬
偽造 Zoom 連結(非 .zoom.us 結尾)引導使用者下載惡意版本的 ZoomInstaller.exe。2023–2025 年多起事件都通過此方式植入 IcedID 或 Lumma 木馬。
③ 會議中奪權
駭客在 Zoom 會議中將暱稱改為「Zoom」,請求受害者「測試共享畫面」,並同時傳送遠端控制請求。一旦點選「允許」,裝置即被完全接管。
④ 擴散與套現
惡意程式將私鑰上傳後立即提幣,或潛伏數日再偽裝 Telegram 身份繼續釣魚他人。RedLine 特別針對 Telegram 的 tdata 目錄開發定向功能。
事後急救三步驟
長期防禦六鐵律
- 獨立會議裝置:陌生會議只用不存私鑰的備用筆記本或手機。
- 只從官網下載軟體:Zoom、AnyDesk 等工具必須從官網下載macOS 建議關閉「下載後自動開啟」功能。
- 嚴格核查網址:會議連結必須以 .zoom.us 結尾;Zoom Vanity URL 也必須符合規範。
- 三不原則:不裝外掛、不給遠端、不展示助記詞或私鑰。
- 冷熱錢包分離:主資產使用冷錢包,並設定 PIN 和 Passphrase;熱錢包僅保留小額資金。
- 全帳戶開啟 2FA:Telegram、郵箱、GitHub、交易所等全部啟用雙重驗證。
結語:假會議的真風險
現代駭客不依賴 0-day 漏洞,而是擅長表演。他們設計「看起來很正常」的 Zoom 會議,等你一個失誤。
只要你養成好習慣:隔離裝置、只從官網下載、多重驗證,這類攻擊就很難得逞。願每一位鏈上使用者都能遠離社交工程陷阱,守住自己的金庫與身份。
📍相關報導📍
慢霧:Cetus 被盜 2.3 億美金事件分析
越南政府宣布禁用Telegram:打擊犯罪!加密通訊不符國家安全
PoS更安全?開發者:攻擊以太坊成本遠超比特幣的100億美元
