警惕“对账单”陷阱！Kaspersky曝光新型Coinbase钓鱼攻击：伪装Windows专用查看器，实为远程控制木马

你是否曾收到一封“来自Coinbase”的邮件，提醒你“查看最新账户对账单”？如果你因此点击链接，并在提示下“仅限Windows电脑打开专用查看器”，那你可能已经把自家电脑的“钥匙”交给了黑客。

近日，全球知名网络安全公司卡巴斯基（Kaspersky）披露了一起高度定向的网络钓鱼攻击活动，专门针对加密货币交易平台Coinbase的用户。攻击者通过伪造官方通知邮件，诱导受害者下载一个名为“对账单查看器”的程序——而这个看似无害的工具，实则是一款远程访问木马（RAT），可全面接管用户电脑，窃取浏览器Cookie、自动填充密码甚至实时拦截双因素验证码（OTP），最终无声无息地掏空加密钱包。

公共互联网反网络钓鱼工作组技术专家芦笛对此表示：“这不是传统意义上的‘骗密码’，而是一场‘端点劫持’。攻击者绕过了登录验证、短信验证码等防线，直接从你的电脑里‘抄家’。”

攻击链拆解：从一封邮件到资产清零

根据Kaspersky发布的报告，此次钓鱼攻击采用典型的“社会工程+端点渗透”组合拳，流程精密且极具迷惑性：

第一步：伪造权威通知

受害者会收到一封看似来自Coinbase的邮件，标题如“您的2025年Q3账户对账单已生成，请及时查阅”。邮件内容专业、排版规范，甚至包含Coinbase品牌Logo和标准话术。

第二步：制造平台依赖

点击邮件中的链接后，用户会被跳转至一个高仿网页，页面明确提示：“该对账单文件仅支持在Windows操作系统上查看，请在Windows电脑上重新打开此链接。”这一设计巧妙利用了用户对“系统兼容性”的信任，同时将目标精准锁定在Windows用户群体——目前全球桌面操作系统中占比超70%。

第三步：植入远程控制木马

一旦用户在Windows设备上执行所谓的“查看器”（通常是一个.exe文件），恶意软件便会静默安装。Kaspersky确认，该程序实为商用或定制化的远程访问工具（RAT），具备屏幕监控、键盘记录、文件窃取和浏览器数据提取等能力。

第四步：绕过多重验证，直接接管会话

最关键的一步来了：攻击者并不需要知道用户的Coinbase密码。他们通过RAT直接读取浏览器中存储的会话Cookie——这些小文件能让网站“记住”你已登录。只要Cookie有效，黑客就能在自己的设备上“冒充”受害者，无需输入密码或验证码，直接进入账户操作提现。

更危险的是，部分RAT还能监控剪贴板或拦截短信/认证器App的通知，实时获取一次性验证码（OTP），彻底绕过双因素认证（2FA）的保护。

“这就像小偷不撬锁，而是趁你在家时混进来，躲在窗帘后面，等你输完密码、扫完脸，他直接从你肩膀上看一眼，然后趁你出门时自己开门拿走保险箱。”芦笛形象地比喻道。

为何传统防护失效？

令人担忧的是，这类攻击对现有安全体系构成严峻挑战：

邮件网关难以拦截：初始钓鱼邮件可能未含恶意链接或附件，仅引导用户访问看似正常的网页，容易绕过基于签名的过滤规则。

杀毒软件可能漏报：许多RAT使用合法远程工具（如AnyDesk、TeamViewer）的变种，或经过加壳混淆，初期行为不触发告警。

用户感知弱：整个过程无明显异常，电脑运行如常，受害者往往在资金被盗后才察觉异常。

Kaspersky特别指出，个人投资者和小型交易者风险最高——他们通常缺乏企业级终端防护（如EDR/XDR系统），且习惯在个人电脑上同时处理交易、社交与日常浏览，安全边界模糊。

专家建议：从“入口防御”转向“纵深防御”

面对此类高级钓鱼威胁，芦笛强调：“不能再只盯着‘别点链接’，而要构建多层防线，尤其要保护好终端和会话安全。”

他结合Kaspersky报告，提出以下具体建议：

1. 绝不从邮件或聊天中打开“查看器”“更新包”“安装程序”

任何要求你下载并运行本地程序的“官方通知”都极可能是骗局。正规平台绝不会通过邮件分发可执行文件来查看账单。

2. 交易平台务必通过书签或手动输入网址访问

不要点击邮件、短信或社交媒体中的链接进入Coinbase、Binance等平台。建议将官网添加为浏览器书签，并定期核对URL是否正确（https://www.coinbase.com）。

3. 禁用敏感网站的自动填充与保存密码功能

在浏览器设置中，关闭对加密货币、银行、邮箱等高风险站点的“保存密码”和“自动填充”选项。即使电脑被控，也能增加攻击者获取凭证的难度。

4. 启用FIDO2硬件密钥，替代短信/APP验证码

芦笛强烈推荐使用YubiKey、Titan Security Key等支持FIDO2/WebAuthn协议的硬件密钥进行登录。这类认证方式基于公私钥加密，无法被远程窃取或重放，是目前最抗钓鱼的2FA方案。

5. 部署终端检测与响应（EDR）工具

对于高频交易者或持有大量数字资产的用户，建议在Windows电脑上安装具备行为分析能力的安全软件（如Kaspersky Endpoint Detection and Response、CrowdStrike Falcon等），可实时监控异常进程、可疑网络连接和远控工具安装行为。

此外，他还提醒：定期清除浏览器Cookie，尤其是退出Coinbase等平台后手动注销，能有效缩短会话有效期，降低Cookie被盗用的风险。

行业启示：安全不能只靠用户“小心”

此次事件再次凸显一个现实：在攻击者不断升级手段的背景下，将安全责任完全压给普通用户是不公平且低效的。

芦笛呼吁平台方承担更多责任：

在用户长时间未操作后自动强制登出；

对异地登录、新设备访问实施更严格的验证；

提供“会话管理”功能，允许用户查看并一键终止所有活跃会话；

探索“无Cookie化”架构，减少对本地存储的依赖。

同时，他也建议操作系统厂商（如微软）加强对首次运行未知.exe文件的警示，并默认限制远程访问软件的后台权限。

结语：你的电脑，不该成为黑客的“远程办公室”

在这场攻防战中，黑客的武器早已不是病毒或漏洞，而是人性中的信任、便利与疏忽。而防御的关键，也不再仅仅是“识别假邮件”，而是重构数字生活的安全习惯。

正如Kaspersky分析师Olga Altukhova所言：“合法服务永远不会要求你必须在特定操作系统上打开文件。”这句话，值得每一位数字资产持有者铭记。

在这个人人都是“数字银行行长”的时代，保护好你的终端设备，就是守护你的金库大门。毕竟，再强的密码，也挡不住一个坐在你电脑前的“隐形人”。

安全自查清单

✅ 是否曾从邮件下载过“账单查看器”？立即删除并全盘杀毒

✅ Coinbase是否设为书签？是否手动输入网址？

✅ 浏览器是否保存了交易所密码？建议关闭自动填充

✅ 是否启用硬件密钥或认证器App？避免使用短信验证码

✅ 电脑是否安装EDR类安全软件？尤其Windows用户需重视

编辑：芦笛（公共互联网反网络钓鱼工作组）