朝鲜最近利用人工智能增强的虚假Zoom通话来诱骗加密货币领域的用户,并在几分钟内清空他们的钱包。一次简单的视频会议如何就能完全控制您的设备,并绕过最谨慎用户的警惕?
一项旨在充实公共账户的大规模计划
自2020年初以来,朝鲜通过其“虚假远程工作者”大军,开展了一项全球性的企业渗透行动,作为政府创收计划的一部分。最近,这支队伍的一部分似乎被重新部署到一项全新的社交工程行动中,这次的目标是加密货币行业。
🚨 警告(再次)
朝鲜威胁行为者仍在通过虚假的Zoom/Teams会议对你们中的许多人进行攻击。
他们正在接管你们的Telegram账户——并利用这些账户攻击你们的所有朋友。
他们通过这种方式已经盗取了超过3亿美元。
请阅读本文。阻止这种循环。🙏 pic.twitter.com/tJTo9lkq0v
— Tay 💖 (@tayvano_) 2025年12月13日
MetaMask的安全研究员泰勒·莫纳汉(更广为人知的网名是Tayvano)详细介绍道,最近被盗金额接近3亿美元。
这种操作模式已为人所熟知且有据可查,自2024年以来,微软威胁情报部门就一直在观察此类活动。攻击者首先会根据目标对象窃取一个一致且合法的个人资料。然后,他们会围绕这个被盗的个人资料创建一个完整的数字生态系统(包括通讯软件、社交网络、GitHub或LinkedIn个人资料),以建立合法的数字足迹。
然后,他们利用人工智能(AI)将源个人资料的图像添加到符合其目的的图片和视频上。他们还使用VPN、VPS、代理服务和RMM工具来隐藏其地理位置和真实的数字身份。
Dfns 创始人克拉丽丝·哈吉(Clarisse Hagège)最近也向我们透露了类似情况,她曾遭到 3 名朝鲜黑客的入侵企图。
她还强调,加密货币行业是朝鲜战略中的首要目标。完整访谈内容请收听我们的播客:
应聘者必须提供至少3份过往工作的推荐信。人们常常忘记这一点,但其实效果很好。
利用Teams或Zoom等平台的社会工程学攻击活动
如今,这种策略被重新利用,并转向了新的目标。正如泰勒·莫纳汉所描述的那样,攻击源于对合法Telegram账户的破坏。这些目标账户通常是风险投资家或演讲者,他们能够利用我们的权威偏见。
在仔细分析了第一位受害者的对话记录以完善他们的故事后,他们将利用已建立的联系人。这些联系人将通过伪装的 Calendly 链接被引导至 Zoom 或 Teams 会议。
🇰🇵 热点新闻——朝鲜涉嫌参与Upbit交易所3000万美元黑客攻击事件
视频中,受害者与权威人士的播客录音或公开露面录像进行互动,通过智能人工智能技术,视频流看起来非常真实。
攻击者随后会模拟音频或视频故障,要求受害者下载一个用于恢复连接的SDK。该SDK会部署恶意脚本,在目标设备上安装恶意软件。这种木马程序能完全控制受害者的计算机,从而获得目标钱包的完全访问权限。
加强操作安全并保持警惕
为防范此类威胁,在通讯应用中采用强认证(强密码)和多因素认证(MFA和2FA应用)至关重要。
此外,需要提醒的是,在与对方交流时,您必须知道发信人的身份(真实性),确保对方发送的信息未被篡改(真实性),并确保您的通信内容不会被他人知晓(保密性)。
此外,若无法确认数据包的完整性与合法性,切勿下载。如有疑虑,可将其置于专用虚拟机中打开以核验内容。
最后,如果您的Telegram账户遭到入侵,请立即删除您的空间并通知联系人,以阻止诈骗链条的延续。
保持警惕,谨记人类行为模式会使您陷入认知偏见(权威偏见、熟悉偏见、紧急偏见等)。当这些偏见被利用时,您很可能成为受害者。
