币圈搬运工 
朝鲜黑客每日利用伪造 Zoom 会议 targeting 加密用户
网络安全非营利组织 Security Alliance(SEAL)近日发出警告:朝鲜黑客正以每天多次的频率,通过伪造的 Zoom 视频会议诱骗加密货币用户下载恶意软件。一旦中招,攻击者可窃取密码、私钥乃至整个数字资产钱包。安全研究员 Taylor Monahan 指出,此类攻击已造成超过 3 亿美元的损失。
伪造 Zoom 会议如何运作?
据 Monahan 揭露,攻击通常始于一条来自“熟人”Telegram 账号的消息。由于发信人身份看似可信,受害者容易放松警惕。随后,对方会提议“视频聊聊”,并发送一个看似正规的 Zoom 链接。
“他们会在通话前分享一个伪装成真实 Zoom 链接的 URL。进入后,你甚至能看到‘本人’和几位‘同事’的画面。这些视频并非深度伪造,而是从受害者此前被黑的录像或公开播客中截取的真实片段。”“音频故障”是关键陷阱
一旦视频通话开始,黑客会立即声称“听不到声音”,并迅速发送一个所谓的“音效修复补丁”。实际上,该文件是木马程序。用户一旦运行,设备即被植入恶意软件。随后,攻击者会以“改天再聊”为由结束通话,避免引起怀疑。
值得注意的是:此时你的电脑很可能已被完全控制。黑客会静默潜伏,伺机窃取加密钱包、社交账号乃至公司内部数据,并利用你的联系人继续扩散攻击。
若已点击可疑链接,该如何紧急应对?
Monahan 强调,时间就是资产安全的关键。如果你在可疑 Zoom 会议中下载或打开了任何文件,请立即采取以下措施:
- 断开 Wi-Fi 或拔掉网线,切断设备与互联网的连接;
- 强制关机,防止恶意软件进一步外传数据;
- 使用另一台干净设备,将加密资产转移至全新钱包地址;
- 更改所有重要账户(邮箱、交易所、社交平台)的密码;
- 为支持的账户启用双重验证(2FA),优先使用认证器 App 而非短信;
- 对受感染设备执行完整内存擦除(如恢复出厂设置或重装系统)后再使用。
务必保护 Telegram 账号
黑客常通过控制 Telegram 账号获取联系人列表,进而发动“信任链”式诈骗。因此,Monahan 特别提醒:
- 立即在手机 Telegram 中进入设置 → 隐私与安全 → 活跃会话;
- 终止所有非本人设备的登录会话;
- 修改 Telegram 密码;
- 启用两步验证(设置 PIN 码或绑定邮箱)。
为何这类攻击屡屡得手?
此类骗局之所以高效,核心在于利用人际信任。攻击者不依赖技术漏洞,而是精准操控心理预期:
| 攻击阶段 | 心理策略 |
|---|---|
| 初始接触 | 冒充熟人,降低戒备 |
| 视频邀请 | 营造真实感,增强可信度 |
| “补丁”请求 | 制造紧迫问题,诱导快速操作 |
| 悄然退出 | 避免冲突,延迟受害者察觉 |
更危险的是,攻击者往往在得手后数日甚至数周内不采取行动,待受害者彻底放松警惕才发起最终洗劫。
常见问题解答
如何判断 Zoom 链接是否伪造?
不要直接点击聊天中发送的链接。应手动打开 Zoom 官方应用,通过会议 ID 和密码加入。若链接域名非 zoom.us 或包含奇怪参数(如短网址、拼写错误),极可能是钓鱼链接。
如果只是参加了视频会议但没下载文件,是否安全?
相对安全,但仍建议检查设备是否有异常进程、网络活动或未知软件。同时更改重要账户密码,并监控 Telegram 是否有异地登录记录。
能否通过杀毒软件清除此类木马?
部分高级木马具备免杀能力,普通杀软可能无法识别。最可靠的方式仍是彻底重装系统或恢复出厂设置,确保无残留后门。
为什么黑客特别偏爱 Telegram 作为入口?
Telegram 默认开启云同步,联系人、聊天记录、媒体文件均存储在服务器上。一旦账号被盗,攻击者可立即获取完整的社交图谱,用于精准诈骗。
企业用户该如何防范此类供应链攻击?
应禁止员工通过非官方渠道接受会议邀请;部署端点检测与响应(EDR)系统;对财务和密钥管理人员实施设备隔离策略,并定期进行钓鱼演练。