点击伪造zoom视频会议下载链接导致百万刀损失

50 0 0

内容来源：@lsp8940、@evilcos、@mrblocktw、@OneKeyCN、@BTW0205等。发文时间：2024年12月24日

Lsp@lsp8940：

屋漏偏逢连夜雨

早上起来发现推特被盗了，找回推特后，发现钱包被盗了，损失 1 M Usd0++ ，钱应该是找不回了

事件逻辑是昨晚黑客伪装了一个推特，一眼看过去没问题，通过我的推特互动信息，伪装我是 XX 朋友，然后推特本身是项目方CEO，因为我之前刷到过，并且提到了朋友所以放松了警惕，然后对方说要对项目发展和我一起聊天开个会，发了 zoom 链接给我，我电脑本身有 zoom ，但是之前用zoom的时候老有问题，需要重新安装，所以网页提示需要重新安装的时候，我重新安装了，醒来发现已经被盗了

我是一个 DEFI 老矿工了，确实不应该这么傻逼去点链接，平常空投都不敢点，最近开会比较多，放松警惕了，DEFI 有无限的机会，也有无限的风险，请大家时刻警惕安全性的问题，安全不仅停留在项目方本身的协议代码，和自己的操作息息相关

已经联系了朋友，也感谢@degens_grandma第一时间的关心和提醒，知道找回的概率够低，所以很快从懵逼到清醒了，希望我的故事可以让大家少受点损失。

上午8:22 · 2024年12月24日

Cos(余弦)😶‍🌫️@evilcos

帮分析了下，被盗 $1M 没戏了，某黑客组织几乎已及时洗完，黑客地址：

0x9Fd15727f43EBFfD0aF6fecf6e01a810348eE6ac

这里有个很细节的点顺便考考大家，下面哪个才是正确的 Zoom 会议地址：

https://zoom.us40web[.]us/j/8697479733?pwd=C8KlpujinCGxBZB7e4Gh.51RZeNGthLz
https://us05web.zoom[.]us/j/8697479733?pwd=C8KlpujinCGxBZB7e4Gh.51RZeNGthLz
https://app.us4zoom[.]us/j/8697479733?pwd=C8KlpujinCGxBZB7e4Gh.51RZeNGthLz

可惜很多人栽在这。这些损失，有 1/10 甚至 1/100 给我们这些玩安全的，我们会快乐很多…

區塊先生 🐡 ⚠️ (rock #58)@mrblocktw

這個月也遇到針對性攻擊，好險平常就有做「幣圈消防演習」的習慣，所以成功避掉。
基本上開會平日用的電腦需要專門一台，交易要專門一台。不同的apple帳號，再搭配第三台隔離機做密碼儲存就會安全點。

OneKey #圣诞礼惠@OneKeyCN

大概率是：

1⃣私钥助记词，明文存放在电脑，一旦中病毒直接被盗；

2⃣所有钱放热钱包，没有硬件钱包。一旦中毒，私钥助记词的缓存有破解风险；或者被记录键盘拿到钱包解锁密码，远程控制。

吸取教训，亡羊补牢，私钥助记词一定要离线备份好🫡

菠菜菠菜｜bocaibocai🐡@bocaibocai_:

⚠️⚠️差点中招Zoom链接钓鱼骗局！黑客是如何精心包装骗取你的信任的？警惕所有X上跟你私聊的陌生人🚨🚨

作为一个拥有丰富被钓鱼的韭菜，基本上菠菜已经可以做到一眼识破钓鱼陷阱的程度了，但是这次遇到的局让我在最后一刻才意识到这是一个钓鱼陷阱，对方为吸引你上钩可谓是做戏做全套。

一般来说，比较常见的钓鱼方式是做一个钓鱼网站诱导用户使用钱包进行交互并盗取资产，常见的是通过Approval、Permit和Permit2等方式，这种钓鱼手法菠菜之前有写过科普：https://x.com/bocaibocai_/status/1781969154268098701。

而这次菠菜要讲的，也就是另外一个常的钓鱼方式：诱导用户下载钓鱼文件，这种方式最核心的要点就是如何卸下对方的内心防御，想象一下如果有陌生人莫名其妙给你发一个文件，当然第一反应就是警惕了，所以如何设局就成了关键，以下是菠菜这次遇到的案例，供大家参考（图片只能放4张）：

黑客伪装成技术社区创始人假装约会议聊合作

在这一环节，该诈骗团伙提前调查了我的背景，并伪装成了一名英文技术社区的创始人来聊合作，并发了一个约会议时间的链接，此时我还是一个比较警惕的阶段。

接下来我会介绍对方是如何一步步打消我的顾虑的：

比较有信服力的X主页

首先，在确定对方是否是一个骗子之前，我会做一些尽调，打开主页，一个拥有蓝标，3000关注者，2015年的账户给人的感觉看上去并没有让我下结论这是一个骗子

看上去用心经营了很久的领英

其次，我调研了这个人的领英账户，看上去完全就是一个

正常用户经营了很久的账户，进一步增强了可信度。

看起来一切正常的官网

最后，我调研了他们这个公司的官网，一切看上去都非常真实，有正在进行的活动，各种Event现场照片，这些因素让我相信了这次聊合作的真实性，且确认了对方的链接确实是约会议时间的链接后，我与他预约了一个会议并纳入了我的calendar中，那么是什么让我发现这是一场精心准备的骗局呢？

伪装成Zoom的会议链接

问题就出在会议链接上，在点击会议链接后，我跳入到了一个Zoom的会议开始界面，就像真的使用Zoom一样，但是当我点击开始会议之后，我的Zoom并没有弹出来，而是自动下载了一个Zoom安装软件，而这个Zoom安装软件正是钓鱼文件，一旦你打开了，你的钱包就有可能面临被盗。

幸运在我使用的是MacOS系统，在我点击文件后我能立马发现这个Zoom下载文件的猫腻，如下图所示，如果是Windows系统的话，被盗的可能性会大大增加！

总之，可以看出诈骗团队为了获取他人的信任，真的有非常用心的在准备了一系列的包装，没有什么被盗经验的小白非常容易上当！

菠菜也是分享这一次经历，劝诫大家：
不要随意相信任何陌生人的私信、链接和下载的文件！！
不要随意相信任何陌生人的私信、链接和下载的文件！！
不要随意相信任何陌生人的私信、链接和下载的文件！！

重要的事情说三次！！

不要辛辛苦苦赚来的钱到头来一场空！！

下午2:47 · 2024年10月3日

BITWU.ETH@BTW0205：

论资产钱包电脑；和工作浏览电脑分开的必要性——

否则大家都有马失前蹄的时候，你无法预测是哪一次；

不要混用电脑，不要在不清醒的时候做任何决策，大额尽量使用冷钱包（最主要作用除了安全，就是你在操作的时候更麻烦，可以让你大脑更多的反应一些东西）；

我前几年也有差不多的经历；

Gamefi 那波，因为好友TG被盗，而黑客发现我和他约了线上会议，所以给我发来了一个新聊天软件的邀请链接，我点击的时候发现是需要下载，但是因为是好友就并未大意，虽然当时觉得聊天的时候，他的话语很生硬和奇怪，但是因为比较那会儿午睡刚起来，就没太在意，于是点开了下载；

接着我当时的电脑里的NFT和以太坊都在十分钟内被洗劫一空，等我反应过来的时候一切都晚了；
那年后我工作电脑和钱包电脑就再也没有混为一体过，甚至手机我都分开在使用：

✂️下面老吴也整理了一些关于社交媒体&钱包安全的干货，设置完可以降低90%的被黑风险——

✅钱包授权取消工具：
http://revoke.cash（支持多链）
http://etherscan.io/tokenapprovalc
http://bscscan.com/tokenapprovalc
http://polygonscan.com/tokenapprovalc
http://snowtrace.io/tokenapprovalc
http://cronoscan.com/tokenapprovalc

✅iphone冷钱包制作方案：
https://x.com/BTW0205/status/1592466282829742080

✅Telegram安全设置教程：
https://x.com/BTW0205/status/1660548301245280256

❗️ 其他Tips：

1，需要找某个网站时，不要谷歌搜索，很多钓鱼，直接去官推找链接。（但现在官推也有被盗号的）

2，不要随意打开陌生推特、DC、TG私信中的链接和文件，邮件里的程序、附件也不要随便下载，谨慎安装浏览器插件，注意核对扩展申请的权限。

3，警惕钱包中突然出现的空投，拒绝盲签，每一次签名必须核对授权内容。

4，常用的浏览器、谷歌账户、钱包、私钥、密码管理、硬件设备，都做好隔离环境，一旦被黑不至于全军覆没。

5，有的手机三方输入法会有剪贴板记忆功能，记得在设置里把这个功能关掉。

6，请对币圈时刻保持怀疑，这里没有绝对信任。

🛟 有空的朋友可以认真看看@evilcos的这篇《区块链黑暗森林自救手册》，被盗原理、自救逻辑、保护手段都写的非常详尽：
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md

以前写过一个段子——

在币圈，你得经历：

1，被警察抓起来一次

2，被交易所跑路一次

3，被钱包跑路一次

4，被 #crypto 理财机构跑路一次

5，自己持有私钥，忘掉密码一次

6，自己持有私钥，被黑客入侵偷一次

7，被亲戚朋友借钱不还一次

然后你就知道什么是私钥的重要性，什么是财产所有权了！

每个人都是自己资产的第一责任人，我曾经用2wu吃了被盗的哑巴亏，从那以后安全就成了第一要务。看完本文，记得对照检查一遍钱包授权，做一做资产归集，重新整理一遍私钥和助记词，查漏补缺，永远不会错！

请记住，币圈就是一座黑暗森林，每个合约都是带枪的猎人，稍有疏忽，你粗心打出的子弹便会正中眉心。