「您的币安账单已生成,请下载附件查看」——附件是恶意 PDF。本文教你识别。下载入口:币安官网,移动端 币安官方APP,iOS 没装 App 看 iOS 安装教程。
一、铁律
币安官方邮件从不发送附件。
所有真账单、KYC 表、确认单都在 binance.com 平台内查看,不通过邮件附件传输。
二、附件钓鱼类型
| 文件 | 风险 |
|---|---|
| 含 JavaScript / 漏洞利用 | |
| Word / Excel(.docm / .xlsm) | 恶意宏 |
| ZIP / RAR | 解压后含 .exe / .scr |
| HTML | 本地打开的钓鱼页 |
| ISO / IMG | 挂载后含恶意可执行 |
三、PDF 的攻击面
PDF 不只是文档,还能:
- 嵌入 JavaScript(被 PDF 阅读器执行)
- 链接到外部资源(追踪 + 重定向钓鱼)
- 利用 PDF 阅读器的漏洞(0day)
打开恶意 PDF 后果:
- 木马植入
- 浏览器历史泄露
- 自动跳转钓鱼站
四、Word / Excel 宏
老经典:
- 打开文档
- Office 弹"启用宏"提示
- 一旦启用,恶意宏运行
- 下载完整木马
防御:
- 不启用任何陌生文档的宏
- 公司环境用 Group Policy 默认禁用宏
五、ZIP / RAR
包内常含 .exe 或 .scr。看似 PDF 图标实际是可执行:
binance_invoice.pdf .exe(多空格让 .exe 看不到)binance_kyc.scr(屏保扩展名实际是可执行)
防御:
- Windows 资源管理器开启"显示扩展名"
- 不双击 ZIP 内文件
六、识别恶意附件
文件名特征
- 命名很正式:"Binance_Invoice_2026.pdf"
- 但发件人不是 binance.com
- 大小很小(几十 KB)或异常大
邮件特征
- 急迫语气
- 没反钓鱼码
- 让你立即打开
七、必须打开时
如果你确实需要打开一个不确定的文件:
1. 用 Google Drive 在线预览
上传到 Google Drive,用浏览器预览。Drive 会沙盒化,恶意代码无法触及你电脑。
2. 沙盒里打开
Windows Sandbox / Sandboxie 中打开。文件被隔离。
3. 虚拟机
VMware / VirtualBox 里打开。即使中招,删掉虚拟机即可。
4. 公开扫描
VirusTotal 上传查毒。但不上传含敏感信息的文件。
八、长期防御
1. 邮箱默认不下载附件
Gmail 设置里关闭"自动下载图片",附件不预览。
2. 浏览器代替本地查看
PDF 在浏览器中打开(Chrome / Edge 自带 PDF 阅读器)比 Adobe 安全(攻击面小)。
3. Office 关宏
文件 → 选项 → 信任中心 → 宏设置 → 禁用所有宏,不通知。
4. 备份文件分类
工作文件与下载文件分目录。来历不明的不放工作目录。
FAQ
Q1:手机能打开 PDF 吗? 能。但 iOS Safari 和安卓 Chrome 内置 PDF 渲染相对安全。仍建议先扫描。
Q2:用 macOS Preview 打开 PDF 安全吗? 比 Adobe 安全,但仍有理论风险。重要环境用沙盒。
Q3:扫描引擎能 100% 查到吗? 不能。新型 0day 通常 1-2 周后才入特征库。根本上不打开陌生附件最安全。
Q4:误打开了怎么办? 立即断网、跑全盘扫描、改重要密码。