北韓駭客每日利用偽造 Zoom 會議瞄準加密貨幣用戶
網路安全非營利組織 Security Alliance(SEAL)近日發出警告:北韓駭客正以「偽造 Zoom 會議」作為新型詐騙手段,每日多次針對加密貨幣使用者發動攻擊。這些攻擊不僅手法精密,且已造成超過 3 億美元的損失。
根據資安研究員 Taylor Monahan 的揭露,此類詐騙通常始於一則看似來自熟人 Telegram 帳號的訊息,誘導受害者點擊偽裝成 Zoom 會議邀請的惡意連結。一旦點擊,裝置便會被植入惡意軟體,導致私鑰、密碼等敏感資料遭竊。
偽造 Zoom 會議詐騙如何運作?
Monahan 指出,整個詐騙流程分為三個階段:
- 建立信任:駭客盜用受害者聯絡人中的 Telegram 帳戶,以熟悉身份發送訊息,降低戒心。
- 誘導點擊:假借「視訊聊天」或「工作會議」名義,提供一個看似合法的 Zoom 連結(實際為釣魚網址)。
- 植入惡意程式:會議開始後,駭客聲稱音訊異常,要求下載「修補檔」;該檔案實為木馬,一旦執行即全面控制裝置。
並非深度偽造,而是真實影片剪輯
值得注意的是,這些 Zoom 會議中出現的畫面並非 AI 生成的深度偽造(deepfake),而是駭客從先前入侵取得的私人錄影、公開播客或其他來源剪輯而成。這使得受害者更難察覺異常。
「他們會讓你看見『本人』和幾位同事,營造真實會議氛圍。但這全是精心編排的陷阱。」— Taylor Monahan若已點擊惡意連結,該怎麼辦?
Monahan 強調,時間就是關鍵。一旦懷疑裝置遭入侵,應立即採取以下措施:
- 立刻斷開 Wi-Fi 並關閉受影響裝置,防止進一步資料外洩。
- 使用另一台乾淨設備將加密資產轉移至全新錢包地址。
- 全面更換所有帳戶密碼,並啟用雙重驗證(2FA)。
- 對受感染裝置執行完整記憶體清除(factory reset 或專業除毒)。
務必鎖定 Telegram 帳戶
由於駭客常透過 Telegram 聯絡人擴散詐騙,保護此平台尤為重要:
- 在手機上開啟 Telegram → 設定 → 隱私與安全 → 活躍裝置
- 終止所有不明登入階段
- 變更密碼並啟用兩步驟驗證(建議使用認證器 App,而非簡訊)
社群防禦:通報比面子更重要
Monahan 特別呼籲:「如果你的 Telegram 被黑,請立刻通知所有聯絡人。你不是在丟臉,而是在阻止朋友被騙。」
駭客會利用你的帳號向好友發送「Zoom 會議邀請」,形成連鎖詐騙。因此,第一時間公開警示,是切斷攻擊鏈的最有效方式。
| 風險行為 | 安全對策 |
|---|---|
| 點擊陌生人或異常熟人發的 Zoom 連結 | 手動輸入 zoom.us 官網加入會議,勿直接點連結 |
| 在會議中下載「修補檔」或「插件」 | Zoom 從不需用戶手動安裝音訊修補檔 |
| Telegram 多裝置同步未監控 | 每週檢查活躍裝置清單,移除可疑登入 |
常見問題解答
如何辨別 Zoom 連結是否為釣魚網站?
真正的 Zoom 會議連結格式為 https://zoom.us/j/「數字」,若網址包含奇怪子網域(如 zoom-meeting[.]xyz)或縮網址(bit.ly 等),極可能為詐騙。建議直接透過 Zoom 官方 App 加入會議。
如果只是參加會議但沒下載任何檔案,還會有風險嗎?
理論上風險較低,但若會議中對方要求「共用螢幕」或引導至其他網頁,仍可能觸發漏洞。最安全做法是:不認識的會議一律拒絕加入。
為何駭客特別針對加密貨幣用戶?
因加密資產具高價值、匿名性及不可逆轉特性,一旦私鑰外洩幾乎無法追回。相較傳統銀行帳戶,加密錢包缺乏中央凍結機制,成為犯罪集團首選目標。
手機也會被這種惡意檔案感染嗎?
目前此類「修補檔」多為 Windows 或 macOS 可執行檔(.exe、.dmg),但若使用 Android 並允許安裝未知來源 App,仍有風險。iOS 因沙盒限制相對安全,但仍建議勿隨意點擊連結。
公司團隊常用 Zoom 開會,如何集體防範?
IT 管理員應啟用 Zoom 的「等候室」功能、禁止外部使用者分享螢幕,並教育員工:任何要求下載檔案的會議都需先經內部確認。同時,全員啟用硬體安全金鑰(如 YubiKey)可大幅提升帳戶安全性。
