假會議真危機：解析 Zoom 與 Calendly 釣魚攻擊的運作鏈及防御要點

作者：𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎

近來加密貨幣社群頻傳資安災難。攻擊者透過 Calendly 排程會議，發送看似正常的“Zoom 連結”，引誘受害者安裝僞裝的木馬程式，甚至在會議中取得電腦遠端控制權。一夕之間，錢包與 Telegram 帳號全數被奪。

本篇將全面解析此類攻擊的運作鏈與防御要點，並附上完整參考資料，方便社群轉貼、內部培訓或自我檢查使用。

攻擊者的雙重目標

數位資產盜取

利用 Lumma Stealer、RedLine 或 IcedID 等惡意程式，直接竊取瀏覽器或桌面錢包中的私鑰與 Seed Phrase，將 TON、BTC 等加密貨幣迅速轉出。

參考：

Microsoft 官方部落格

Flare 威脅情報

身分憑證竊取

偷取 Telegram、Google 的 Session Cookie，僞裝成受害者，持續約更多受害者，形成雪球式擴散。

參考：

d01a 分析報告

攻擊鏈四步驟

① 鋪陳信任

冒充投資人、媒體或 Podcast，透過 Calendly 寄出正式會議邀請。例如“ELUSIVE COMET”案例中，攻擊者僞裝 Bloomberg Crypto 頁面進行詐騙。

參考：

Trail of Bits Blog

② 投放木馬

仿冒 Zoom 網址（非 .zoom.us）引導下載惡意版本的 ZoomInstaller.exe。2023–2025 年多起事件皆採此手法投放 IcedID 或 Lumma。

參考：

Bitdefender

③ 會議中奪權

駭客在 Zoom 會議中將暱稱改成“Zoom”，請受害者“測試分享畫面”並同時發送遠端控制請求。一旦受害者點下“允許”，即遭全面入侵。

參考：

Help Net Security

DarkReading

④ 擴散與套現

惡意程式將私鑰上傳，立即提幣，或潛伏數日再盜用 Telegram 身分釣魚他人。RedLine 特別針對 Telegram 的 tdata 目錄設計。

參考：

d01a 分析報告

事後急救三步驟

立即隔離裝置

拔網線、關 Wi-Fi，用幹淨 USB 開機掃描；如發現 RedLine／Lumma，建議全碟格式化重灌。

撤除所有 Session

將加密貨幣轉移至新硬體錢包；Telegram 登出所有裝置並啓用二步驟驗證；Email、交易所密碼全部更換。

同步監控區塊鏈與交易所

發現異常轉帳時，立即聯絡交易所請求凍結可疑地址。

長期防御六鐵律

獨立會議設備：陌生會議僅用沒有私鑰的備用筆電或手機。

官方來源下載：Zoom、AnyDesk 等軟體必須來自原廠網站；macOS 建議關閉“下載後自動開啓”。

嚴格核對網址：會議連結需爲 .zoom.us；Zoom Vanity URL 亦遵循此規範（官方指引

三不原則：不裝外掛、不給遠端、不顯示 Seed／私鑰。

冷熱錢包分離：主資產放冷錢包加上 PIN + Passphrase；熱錢包僅留小額。

全帳號開 2FA：Telegram、Email、GitHub、交易所全面啓用雙重驗證。

結語：假會議的真危險

現代駭客不靠零日漏洞，而是演技精湛。他們設計“看起來很正常”的 Zoom 會議，等待你的失誤。

只要你養成習慣：隔離設備、官方來源、多層驗證，這些手法就不再有機可乘。願每一位鏈上使用者都能遠離社交工程陷阱，守住自己的金庫與身分。