💡 提示:以下文章数据仅供参考。详情请以实际情况和客服回复为准。
是的,你的比特币矿机,或者更准确地说,你的加密货币钱包凭证,正面临通过Facebook广告进行的网络钓鱼攻击的风险。 近期Facebook广告诈骗激增,它们伪装成“Windows 11升级”链接,专门设计用于窃取加密货币钱包和矿池的登录凭证。
根据Malwarebytes在2026年2月的一份报告,黑客利用伪装成Windows 11更新下载的Facebook广告,诱使极客下载并安装监控软件,从而窃取加密货币钱包密钥信息。因此,切勿直接点击广告中的下载链接。最好在你的矿机上启用双因素认证(2FA)。接下来,我将分享有关这些危险的信息!
危险吗?⛏️ASIC矿机报酬
你以为你的 小型矿机 在为你挖矿盈利,但它可能实际上在为黑客“工作”。这并非危言耸听,而是一种新型的信息窃取攻击。黑客不再直接盗取你的币,而是悄悄窃取你的加密货币钱包信息,将本应属于你的算力奖励转入他们的钱包。 根据Bitdefender的2025年威胁报告,全球已检测到超过1200台ASIC矿机遭到此类隐蔽配置篡改,单台矿机平均每天损失高达13 TH/s的算力。
❌❌❌这些是此恶意广告活动中错误的链接❌❌❌
这个过程就像你的包裹在运输途中被调包。你的 Zyber 8G Premium 仍在运行,矿池页面显示“运行中”,但由于之前的操作,挖出的比特币正流向一个未知地址。攻击途径通常是看似“优化”的第三方固件或管理工具。例如,一个Windows更新下载可能就是木马安装的开始。黑客利用了矿工或极客追求极致运行效率的心态。
- 攻击路径:虚假广告 → 下载受感染工具 → 工具获取Windows权限。
- 权威支持:北美比特币矿工协会(NBMA)在其2025年第三季度安全白皮书中将此列为“最高优先级”的物理层威胁。
如何检测?不要只看矿池上的总奖励;检查后台是否有异常,比如后面提到的异常软件/文件夹/程序。由于 此类程序会在后台静默窃取保存的密码、浏览器会话和加密货币钱包数据,因此很难被发现。此外,为了绕过常规杀毒软件,攻击者对有效载荷实施了多层保护。请记住,任何非官方的更新广告都是钓鱼网站。
识别诈骗广告🚫
识别诈骗广告的关键在于一种“不协调感”。 黑客的广告预算可能比合法项目还高,所以它们可以无处不在!毕竟,只要成功一次,与利用信息差获得的丰厚利润相比,预算就微不足道了! 但即使是最具说服力的羊皮也藏不住狼尾巴。如果官方渠道没有宣传过,第三方广告怎么敢宣传,你又怎么敢相信?始终依赖微软的官方页面,尽管黑客可以完美模仿官方页面,但URL会明显异常!诈骗广告的定向逻辑正在演变。过去是简单的广谱定向;现在他们针对特定兴趣标签,如“比特币挖矿”、“ASIC矿机”、“Bitaxe矿机”,向极客用户推送像Windows更新这样的日常操作。更狡猾的是,他们利用Facebook的“类似受众”扩展功能来寻找并欺骗你的矿工同行。
在Facebook上发现的欺诈性Windows 11更新广告
诈骗广告的心理伎俩是什么?它们针对“错失恐惧症”(FOMO)。例如:“限时免费!” 你想,官方售价49美元的插件免费了?你不假思索地点击。但事实是,ASIC矿机固件无法直接通过网页安装。 一个看起来专业、使用微软品牌、宣传似乎是Windows 11最新更新的Facebook广告。如果你一直想让你的电脑保持最新状态,这感觉像是一个便捷的捷径。 但要小心这些常见的陷阱!
❓域名把戏: 域名中的“25H2”是故意的。它模仿了微软的Windows版本命名规则。当前版本24H2在此活动推出时人尽皆知,使得这些虚假域名乍一看很合理。
🔥视觉陷阱: 徽标、布局、字体,甚至页脚的法律文本都一模一样。唯一明显的区别在于地址栏。
➡️行为危险信号: 着陆页要求你“禁用杀毒软件以确保顺利安装”,这就像要求你拆掉自家的防盗门。
点击广告后,你会进入一个看起来几乎与微软真正的软件下载页面完全相同的网站。不是 ,你会看到以下这些模仿域名之一:
- ms-25h2-download[.]pro
- ms-25h2-update[.]pro
- ms25h2-download[.]pro
- ms25h2-update[.]pro
这些广告看起来像是官方的微软推广,将用户引导至近乎完美的Windows 11下载页面克隆版。点击 “立即下载”, 你得到的不是Windows更新,而是一个恶意安装程序——一个会静默窃取保存的密码、浏览器会话和加密货币钱包数据的程序。这一切都始于, “我只是想更新一下Windows。”
✋ 停!别点链接
看到广告链接时,你的第一反应应该是:忽略它,不要点击!这种“笨办法”可以阻挡超过99%的社会工程学攻击。因为诈骗广告的最终目标是让你下载病毒或监控程序,而不是直接诱骗你在虚假登录页面输入凭证——那是一种明显得多的盗窃技术!一旦下载且未被察觉,你随后在浏览器或其他地方习惯性输入的任何账户密码,都可能在一分钟内被黑客接收。
此活动不会盲目感染所有访问该网站的人。 在传递恶意软件之前,虚假页面会检查你的身份。如果你从数据中心IP地址连接——通常被安全研究人员和自动扫描器使用——你将被重定向到google.com。该网站看起来无害。 只有看起来是普通家庭或办公室用户的访客才会收到恶意文件。 这种被称为地理围栏结合沙箱检测的技术,使得此活动能够运行如此之久而不被自动系统发现和关闭。其基础设施配置旨在规避自动安全分析。 当目标用户点击 “立即下载”时,网站会触发一个Facebook Pixel的“线索”事件!这与合法广告商用来衡量转化率的跟踪方法相同。攻击者实时监控哪些受害者上钩,并优化他们的广告支出。
如果你从这些网站中的任何一个下载并运行了文件,请将该系统视为已遭入侵,并迅速采取行动。
- 在该计算机被扫描和清理干净之前,不要登录任何账户。
- 立即使用第三方工具进行全盘扫描。你也可以参考 Malwarebytes于2026年2月20日提供的解决报告。
- 使用另一台干净的设备 更改重要账户的密码,如电子邮件、银行和社交媒体。
- 如果你在该机器上使用加密货币钱包,请将资金转移到一个新钱包,该钱包的新助记词应在干净的设备上生成。
- 如果任何金融凭证存储在该设备上或可从该设备访问,请考虑通知你的银行并启用欺诈监控。
对于IT和安全团队:
- 在DNS和网络代理处屏蔽这些钓鱼域名。
- 对在非管理上下文中使用
-ExecutionPolicy Unrestricted参数执行PowerShell的行为发出警报。 - 在
%TEMP%目录中搜寻LunarApplication目录和随机命名的.yiz.ps1/.unx.ps1文件。
这并非加密货币黑客首次利用Facebook广告窃取加密钱包数据。去年,黑客利用年度Pi2Day活动发起了一场针对加密货币用户的恶意Facebook广告活动。Pi Network社区在6月28日庆祝年度Pi2Day活动。在上次活动期间,黑客利用Pi Network品牌发布了140个虚假广告。受害者被重定向到钓鱼网站,这些网站宣传免费的Pi代币或空投活动,但要求交换受害者的恢复短语。根据Bitdefender的数据,一个名为“免费TradingView Premium - 他们不想让你知道的秘密方法”的虚假视频广告在几天内被观看了超过18.2万次。视频描述中包含指向恶意可执行文件的链接。它采用了一种规避技术,如果攻击者认为用户不是有效目标,则向用户显示一个无害的页面。该视频是未列出的,使其无法被搜索且难以向谷歌报告。根据网络安全公司DeepStrike的数据,信息窃取恶意软件在2025年影响了数百万台设备,窃取了大约18亿条凭证。 报告指出:“任何与网上银行、PayPal、加密钱包相关的东西——显然任何与钱有关的东西——都是网络犯罪分子的目标。”
守护加密密钥🎯
守护你的加密货币密钥就是守护你的矿机,守护 Zyber 8S。本质上就是防止你的钱包地址泄露,并确保“最终提现权”始终掌握在你手中。私钥不是密码;如果丢失,就真的没了,没有“忘记密码”的选项。对于矿工来说,风险不仅在于热钱包,还在于矿池的支付地址设置。许多初学者将矿池奖励设置为直接发送到交易所地址(如Coinbase)。这完全外包了私钥托管责任,并增加了提现阶段的盗窃风险。
从第一性原理出发,最安全的方法是使用硬件冷钱包生成一个专用的比特币地址,仅用于接收矿池支付。该地址的私钥从未接触过联网设备。 根据Ledger在2024年区块链安全峰会上的数据,使用硬件钱包管理挖矿收益可将私钥被盗风险降低超过99.8%。
比较两种方法的风险链:
- 危险做法:矿池 → 交易所热钱包 → 你。风险点:近期交易所黑客事件、你的交易所账户可能被黑、监管冻结。
- 安全做法:矿池 → 你的硬件钱包冷地址 → (需要时)→ 交易所。风险点:几乎只有矿池被黑(但你可以选择信誉好的矿池),这正是本次事件的目标!
此外,定期检查你的矿池“支付门槛”和“自动支付”设置。把你的挖矿奖励想象成黄金。你会把黄金存放在路边广告牌上的“免费保险箱”里吗?同样,Facebook广告中的“高收益钱包”只是纸板做的保险箱。每周花10分钟检查你的钱包地址白名单,并确保你的矿机固件通过了SHA-256验证(例如,使用比特大陆提供的验证工具)。记住,在加密货币世界里,谨慎是最大的美德。