Bài viết này bắt nguồn từ một bài báo được viết bởi @drawesomedoge và được biên soạn, biên soạn và viết bởi wublockchain. (Cảnh báo Google Cloud: Các cuộc tấn công gián điệp CNTT của Triều Tiên mở rộng, các doanh nghiệp toàn cầu nên cảnh giác) (Bổ sung cơ bản: Microsoft cảnh báo về các Trojan độc hại mới: các cuộc tấn công khóa OKX, Metamask và 20 ví Web3 chính thống khác) Gần đây, đã có những thảm họa bảo mật thường xuyên trong cộng đồng tiền điện tử. Những kẻ tấn công lên lịch họp thông qua Calendly, gửi "liên kết Zoom" có vẻ bình thường, lừa nạn nhân cài đặt Trojan giả mạo và thậm chí có quyền điều khiển máy tính từ xa trong cuộc họp. Chỉ sau một đêm, ví và tài khoản Telegram đã bị tịch thu hoàn toàn. Bài viết này sẽ phân tích toàn diện chuỗi hoạt động và các điểm phòng thủ của các cuộc tấn công như vậy, đồng thời đính kèm tài liệu tham khảo đầy đủ để chuyển tiếp cộng đồng, đào tạo nội bộ hoặc tự kiểm tra. Mục tiêu kép của những kẻ tấn công đánh cắp tài sản kỹ thuật số: Sử dụng các chương trình độc hại như Lumma Stealer, RedLine hoặc IcedID, trực tiếp đánh cắp khóa riêng tư và ghi nhớ trong trình duyệt hoặc ví máy tính để bàn, đồng thời nhanh chóng chuyển tiền điện tử như TON và BTC. Đánh cắp thông tin đăng nhập danh tính: Đánh cắp Telegram, cookie Session của Google, giả làm nạn nhân để tiếp tục tiếp xúc với nhiều đối tượng hơn, tạo thành một quả cầu tuyết lan rộng. Bốn bước dẫn đến chuỗi tấn công (1) Xây dựng lòng tin Mạo danh các nhà đầu tư, phương tiện truyền thông hoặc người dẫn chương trình podcast và gửi lời mời họp chính thức thông qua Calendly. Ví dụ: trong trường hợp "ELUSIVE COMET", kẻ tấn công đã ngụy trang Bloomberg Crypto để lừa đảo. (2) Thả Trojan Liên kết Zoom giả mạo (không phải kết thúc .zoom.us) để hướng người dùng tải xuống phiên bản độc hại của ZoomInstaller.exe. Một số sự cố trong năm 2023–2025 đã được gieo theo cách này với IcedID hoặc Lumma Trojans. (3) Tịch thu điện trong cuộc họp Tin tặc đã đổi biệt danh thành "Zoom" trong cuộc họp Zoom, yêu cầu nạn nhân "kiểm tra màn hình chia sẻ" và đồng thời truyền yêu cầu điều khiển từ xa. Sau khi nhấp vào "Cho phép", thiết bị sẽ được tiếp quản hoàn toàn. (4) Phổ biến và rút tiền Chương trình độc hại sẽ ngay lập tức rút tiền sau khi tải lên khóa riêng tư, hoặc ẩn nấp trong vài ngày rồi giả vờ là danh tính Telegram để tiếp tục lừa đảo người khác. RedLine phát triển các tính năng nhắm mục tiêu dành riêng cho thư mục tdata của Telegram. Ba bước để sơ cứu ngay lập tức cách ly thiết bị: rút cáp mạng, tắt Wi-Fi, khởi động thiết bị bằng USB sạch và quét hoàn toàn; Nếu tìm thấy RedLine / Lumma, bạn nên định dạng hoàn toàn hệ thống tưới lại. Hoàn tác tất cả các phiên: chuyển tài sản tiền điện tử sang ví cứng mới; Telegram đăng xuất tất cả các thiết bị và cho phép xác minh hai bước; Thay đổi tất cả mật khẩu như địa chỉ email, trao đổi,... Giám sát đồng bộ động lực trên chuỗi và sàn giao dịch: Khi phát hiện thấy các giao dịch chuyển khoản đáng ngờ, hãy liên hệ ngay với sàn giao dịch để yêu cầu đóng băng các địa chỉ liên quan. Sáu định luật sắt của phòng thủ dài hạn Thiết bị hội nghị độc lập: Các cuộc họp kỳ lạ chỉ sử dụng máy tính xách tay hoặc điện thoại di động dự phòng mà không có khóa riêng. Chỉ tải xuống phần mềm từ trang web chính thức: Các công cụ như Zoom và AnyDesk phải được tải xuống từ trang web chính thức macOS Bạn nên tắt chức năng "tự động mở sau khi tải xuống". Kiểm tra nghiêm ngặt URL: liên kết cuộc họp phải kết thúc bằng .zoom.us; URL Zoom Vanity cũng phải tuân thủ thông số kỹ thuật. Nguyên tắc ba không: không cài đặt plug-in, không cung cấp điều khiển từ xa, không hiển thị ghi nhớ hoặc khóa riêng tư. Tách ví nóng và ví lạnh: tài sản chính sử dụng ví lạnh và đặt mã PIN và Cụm mật khẩu; Ví nóng chỉ giữ một lượng tiền nhỏ. Bật 2FA cho tất cả các tài khoản: Telegram, email, GitHub, sàn giao dịch, v.v. đều cho phép xác thực hai yếu tố. Kết luận: Rủi ro thực sự của cuộc họp giả mạo Tin tặc hiện đại không dựa vào lỗ hổng 0 ngày mà rất giỏi trong việc hành động. Họ thiết kế các cuộc họp Zoom "trông bình thường" và chờ bạn mắc lỗi. Chỉ cần bạn phát triển những thói quen tốt: thiết bị cách ly, chỉ tải xuống từ trang web chính thức, xác thực đa yếu tố, loại tấn công này rất khó thành công. Cầu mong mọi người dùng on-chain tránh xa cái bẫy của kỹ thuật xã hội và giữ kho tiền và danh tính của riêng họ. Tin liên quan Sương mù chậm: 230 triệu đô la trộm cetus Chính phủ Việt Nam thông báo cấm Telegram: Chống tội phạm! Giao tiếp mã hóa không phù hợp với an ninh quốc gia, PoS an toàn hơn? Các nhà phát triển: Chi phí tấn công Ethereum vượt xa 10 tỷ đô la của Bitcoin "Lừa đảo tiền điện tử" tấn công liên kết cuộc họp giả mạo" Phân tích đầy đủ: sáu quy luật sắt của phòng thủ dài hạn" Bài viết này được xuất bản lần đầu tiên trong "Xu hướng động - Phương tiện tin tức Blockchain có ảnh hưởng nhất" của BlockTempo.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Mã hóa lừa đảo "Cuộc tấn công liên kết giả mạo" toàn phân tích: Sáu quy tắc sắt cho phòng thủ lâu dài
Bài viết này bắt nguồn từ một bài báo được viết bởi @drawesomedoge và được biên soạn, biên soạn và viết bởi wublockchain. (Cảnh báo Google Cloud: Các cuộc tấn công gián điệp CNTT của Triều Tiên mở rộng, các doanh nghiệp toàn cầu nên cảnh giác) (Bổ sung cơ bản: Microsoft cảnh báo về các Trojan độc hại mới: các cuộc tấn công khóa OKX, Metamask và 20 ví Web3 chính thống khác) Gần đây, đã có những thảm họa bảo mật thường xuyên trong cộng đồng tiền điện tử. Những kẻ tấn công lên lịch họp thông qua Calendly, gửi "liên kết Zoom" có vẻ bình thường, lừa nạn nhân cài đặt Trojan giả mạo và thậm chí có quyền điều khiển máy tính từ xa trong cuộc họp. Chỉ sau một đêm, ví và tài khoản Telegram đã bị tịch thu hoàn toàn. Bài viết này sẽ phân tích toàn diện chuỗi hoạt động và các điểm phòng thủ của các cuộc tấn công như vậy, đồng thời đính kèm tài liệu tham khảo đầy đủ để chuyển tiếp cộng đồng, đào tạo nội bộ hoặc tự kiểm tra. Mục tiêu kép của những kẻ tấn công đánh cắp tài sản kỹ thuật số: Sử dụng các chương trình độc hại như Lumma Stealer, RedLine hoặc IcedID, trực tiếp đánh cắp khóa riêng tư và ghi nhớ trong trình duyệt hoặc ví máy tính để bàn, đồng thời nhanh chóng chuyển tiền điện tử như TON và BTC. Đánh cắp thông tin đăng nhập danh tính: Đánh cắp Telegram, cookie Session của Google, giả làm nạn nhân để tiếp tục tiếp xúc với nhiều đối tượng hơn, tạo thành một quả cầu tuyết lan rộng. Bốn bước dẫn đến chuỗi tấn công (1) Xây dựng lòng tin Mạo danh các nhà đầu tư, phương tiện truyền thông hoặc người dẫn chương trình podcast và gửi lời mời họp chính thức thông qua Calendly. Ví dụ: trong trường hợp "ELUSIVE COMET", kẻ tấn công đã ngụy trang Bloomberg Crypto để lừa đảo. (2) Thả Trojan Liên kết Zoom giả mạo (không phải kết thúc .zoom.us) để hướng người dùng tải xuống phiên bản độc hại của ZoomInstaller.exe. Một số sự cố trong năm 2023–2025 đã được gieo theo cách này với IcedID hoặc Lumma Trojans. (3) Tịch thu điện trong cuộc họp Tin tặc đã đổi biệt danh thành "Zoom" trong cuộc họp Zoom, yêu cầu nạn nhân "kiểm tra màn hình chia sẻ" và đồng thời truyền yêu cầu điều khiển từ xa. Sau khi nhấp vào "Cho phép", thiết bị sẽ được tiếp quản hoàn toàn. (4) Phổ biến và rút tiền Chương trình độc hại sẽ ngay lập tức rút tiền sau khi tải lên khóa riêng tư, hoặc ẩn nấp trong vài ngày rồi giả vờ là danh tính Telegram để tiếp tục lừa đảo người khác. RedLine phát triển các tính năng nhắm mục tiêu dành riêng cho thư mục tdata của Telegram. Ba bước để sơ cứu ngay lập tức cách ly thiết bị: rút cáp mạng, tắt Wi-Fi, khởi động thiết bị bằng USB sạch và quét hoàn toàn; Nếu tìm thấy RedLine / Lumma, bạn nên định dạng hoàn toàn hệ thống tưới lại. Hoàn tác tất cả các phiên: chuyển tài sản tiền điện tử sang ví cứng mới; Telegram đăng xuất tất cả các thiết bị và cho phép xác minh hai bước; Thay đổi tất cả mật khẩu như địa chỉ email, trao đổi,... Giám sát đồng bộ động lực trên chuỗi và sàn giao dịch: Khi phát hiện thấy các giao dịch chuyển khoản đáng ngờ, hãy liên hệ ngay với sàn giao dịch để yêu cầu đóng băng các địa chỉ liên quan. Sáu định luật sắt của phòng thủ dài hạn Thiết bị hội nghị độc lập: Các cuộc họp kỳ lạ chỉ sử dụng máy tính xách tay hoặc điện thoại di động dự phòng mà không có khóa riêng. Chỉ tải xuống phần mềm từ trang web chính thức: Các công cụ như Zoom và AnyDesk phải được tải xuống từ trang web chính thức macOS Bạn nên tắt chức năng "tự động mở sau khi tải xuống". Kiểm tra nghiêm ngặt URL: liên kết cuộc họp phải kết thúc bằng .zoom.us; URL Zoom Vanity cũng phải tuân thủ thông số kỹ thuật. Nguyên tắc ba không: không cài đặt plug-in, không cung cấp điều khiển từ xa, không hiển thị ghi nhớ hoặc khóa riêng tư. Tách ví nóng và ví lạnh: tài sản chính sử dụng ví lạnh và đặt mã PIN và Cụm mật khẩu; Ví nóng chỉ giữ một lượng tiền nhỏ. Bật 2FA cho tất cả các tài khoản: Telegram, email, GitHub, sàn giao dịch, v.v. đều cho phép xác thực hai yếu tố. Kết luận: Rủi ro thực sự của cuộc họp giả mạo Tin tặc hiện đại không dựa vào lỗ hổng 0 ngày mà rất giỏi trong việc hành động. Họ thiết kế các cuộc họp Zoom "trông bình thường" và chờ bạn mắc lỗi. Chỉ cần bạn phát triển những thói quen tốt: thiết bị cách ly, chỉ tải xuống từ trang web chính thức, xác thực đa yếu tố, loại tấn công này rất khó thành công. Cầu mong mọi người dùng on-chain tránh xa cái bẫy của kỹ thuật xã hội và giữ kho tiền và danh tính của riêng họ. Tin liên quan Sương mù chậm: 230 triệu đô la trộm cetus Chính phủ Việt Nam thông báo cấm Telegram: Chống tội phạm! Giao tiếp mã hóa không phù hợp với an ninh quốc gia, PoS an toàn hơn? Các nhà phát triển: Chi phí tấn công Ethereum vượt xa 10 tỷ đô la của Bitcoin "Lừa đảo tiền điện tử" tấn công liên kết cuộc họp giả mạo" Phân tích đầy đủ: sáu quy luật sắt của phòng thủ dài hạn" Bài viết này được xuất bản lần đầu tiên trong "Xu hướng động - Phương tiện tin tức Blockchain có ảnh hưởng nhất" của BlockTempo.