Chrome 網上應用店搜 Binance 會出現一堆"幣安行情""幣安快捷登入""Binance Helper"等擴充套件。幣安官方沒有任何瀏覽器擴充套件。本文揭穿這些偽裝。下載入口:幣安官網,移動端 幣安官方APP,iOS 沒裝 App 看 iOS 安裝教程。
一、為什麼幣安沒有官方擴充套件
瀏覽器擴充套件能讀寫所有頁面 DOM、Cookie、儲存,許可權極大。幣安出於安全考慮主動不釋出擴充套件。任何"幣安官方擴充套件"都是冒名。
二、偽裝擴充套件的常見型別
| 型別 | 表面功能 | 真實危害 |
|---|---|---|
| "行情提醒" | 顯示幣價 | 讀 Cookie 偷登入態 |
| "快捷登入" | 免輸密碼 | 劫持密碼與 2FA |
| "自動交易" | 價格觸發自動下單 | 偷 API key |
| "翻譯助手" | 頁面英譯中 | 注入惡意 JavaScript |
| "官方主題" | 幣安風格美化 | 替換頁面內容劫持表單 |
三、擴充套件能幹哪些壞事
1. 讀取 Cookie
擴充套件可以讀所有開啟頁面的 Cookie。幣安登入態存在 Cookie 裡——擴充套件拿到等於拿到登入態。
2. 注入 JavaScript
擴充套件可以在 binance.com 頁面注入指令碼,修改:
- 提幣地址(你看到的是自己的,實際發到攻擊者)
- 顯示餘額(隱藏部分讓你不察覺)
- 彈假"再次登入"框騙 2FA
3. 截圖 / 錄屏
某些許可權的擴充套件能截圖當前標籤頁,連密碼輸入介面一起。
4. 上傳資料
擴充套件可以無限制訪問外部 URL,把你的資料持續傳到攻擊者伺服器。
四、識別惡意擴充套件
看許可權
Chrome 擴充套件商店裡點擴充套件頁 → 詳細資訊。看許可權列表:
- "讀取並修改您訪問的網站上的所有資料"——風險高
- "讀寫剪貼簿"——不必要
- "管理您的下載"——無理由
為簡單的"顯示價格"申請這種許可權,就是惡意。
看開發者
正規擴充套件開發者通常是公司名 + 郵箱連結。看不到開發者資訊或開發者匿名——警惕。
看使用者量與評論
數百到幾千使用者量的"幣安"擴充套件幾乎都是仿冒。注意看一星評論裡有沒有"裝了之後賬號被盜"的反饋。
五、清理已裝擴充套件
Chrome
位址列 chrome://extensions → 找可疑條目 → 刪除。重啟 Chrome。
Edge
edge://extensions 類似流程。
Firefox
about:addons → 擴充套件 → 移除。
清理後立即:
- 改 Chrome / Microsoft / Firefox 同步賬號密碼
- 改幣安密碼 + 重置 2FA
- 檢查幣安登入歷史
- 刪除 API key
六、合法相關擴充套件白名單
下面的擴充套件是有用且非幣安偽裝的,可放心裝:
- MetaMask:以太坊錢包,獨立專案,與幣安無關
- Phantom:Solana 錢包
- uBlock Origin:廣告攔截
- Privacy Badger:隱私保護
- HTTPS Everywhere(已併入瀏覽器)
這些是真正提升安全的,但它們都不是"幣安官方擴充套件"。
七、長期防禦
1. 瀏覽器分兩個
- 金融瀏覽器:只裝幣安、銀行書籤,絕對不裝任何擴充套件
- 日常瀏覽器:裝常用擴充套件、看網頁
物理分離讓擴充套件無法觸及金融賬號。
2. 用瀏覽器配置檔案
Chrome 支援多個 Profile。專門一個 Profile 不裝任何擴充套件,只用來登幣安。
3. 定期審查擴充套件
每月清理一次擴充套件列表。不用的刪掉。常裝常更新的留下。
FAQ
Q1:商店裡有"Binance"擴充套件打著官方旗號怎麼辦? 點"舉報濫用",Google 會審查。但更好的方式是不裝。
Q2:裝了惡意擴充套件幾小時賬號會被盜嗎? 取決於擴充套件能力。某些立刻偷 Cookie,幾分鐘資產就轉走。某些潛伏一段時間才動手。一旦懷疑立刻全套應急。
Q3:手機瀏覽器有擴充套件嗎? Chrome 移動版沒有擴充套件機制(更安全)。Firefox 移動版有部分擴充套件,謹慎使用。
Q4:有沒有"安全的"幣安價格顯示擴充套件? 沒有保證。建議用幣安 APP 通知或桌面客戶端代替擴充套件。