Google Ads 假 Ledger Live · 一搜就是钓鱼站

2022 年起 · Google Ads 成为加密钓鱼主战场

过去几年加密钓鱼的入口在缓慢迁移。2020 年的主流是钓鱼邮件，2022 年起开始大规模转向 Google Ads。原因很现实：Google Ads 的广告位竞价机制对「ledger / metamask / trezor / trust wallet」等品牌关键词审核薄弱，攻击者注册壳公司投几小时广告被下架、再用新公司投新广告 —— 反复循环。一年下来，搜钱包品牌名第一条是钓鱼的概率超过 50%。Ledger 团队 2023 年起跟 Google 协商「品牌词广告白名单」一直没结果。

2024 年 10 月 21 日上午 · 阿姆斯特丹

退休医生 Pieter 想给他的 Ledger Nano X 升级 Ledger Live 软件。他在 Google 搜「ledger live download」，第一条带 Ad 标记，链接 display URL 显示 ledger.com，他点进去。URL 跳到 ledger-live-app[.]com —— 这是 Google Ads 的合法功能 display URL vs landing URL 被攻击者滥用：广告卡片上显示 ledger.com，实际跳转任意域名。

10:42 · 下载安装

页面排版跟官网几乎一致，下载按钮指向一个 Ledger Live 的 .dmg 文件（Mac 安装包）。Pieter 不熟悉 Mac 的 codesign 检查，没核对签名证书就装上了。.dmg 文件签名实际是一个攻击者注册的开发者证书（苹果对 individual developer 注册门槛低），系统提示「来自已识别开发者」让他更放心。

10:51 · 软件要求输入 24 词

软件启动后弹出提示：「为了升级安全连接到您的硬件钱包，请输入 24 字恢复短语进行账户匹配」。Pieter 输了。真 Ledger Live 永远不会要求输入 24 词 —— 这是硬件钱包行业的基本承诺，但 Pieter 不知道这条。他第一次买 Ledger 是 2021 年，那时确实弹过类似输入框（其实是早期版本的 unlock PIN），他混淆了两件事。

11:12 · 资产全部清空

20 分钟后他的硬件钱包里 8.7 BTC + 11 ETH + 12 万 USDC 全部清空，约合 32 万欧元 —— 他的退休资金大头。资产分到 4 个攻击者地址，BTC 部分在 12 分钟内进了一个混币器。

救回的部分 · 48 小时窗口很关键

Pieter 这案因为是退休资金，得到了欧盟反诈中心和荷兰当地公安的优先介入。部分资金通过 Coinbase Custody 合作冻结追回了约 8 万欧元 —— 但前提是他在被盗 48 小时内完成报案、提交完整证据（钓鱼站截图、邮件、转账 hash）。超过 48 小时跨境冻结基本无效。这是被 Google Ads 钓中后的硬时间窗。

下次怎么做

第一步：浏览器书签栏存好官方 URL。ledger.com、metamask.io、trezor.io 直接收藏，每次升级软件点书签进入，不要走搜引擎。这一步挡掉 95% 的 Google Ads 钓鱼。

第二步：搜索时用 site: 限定。搜「site:ledger.com ledger live」，结果只显示 ledger.com 域名下的真实页面。

第三步：装软件前核对签名。Mac 上 codesign -dvv /Applications/Ledger\ Live.app，输出里 Authority 字段是 Ledger SAS；Windows 在文件属性 → 数字签名里看 Ledger SAS。任何其他签名实体直接不装。

5 条信号 · 一秒淘汰

• Google 搜钱包品牌名第一条带 Ad 标记 —— 直接跳过看第二屏
• 下载页 URL 不是品牌官方域名 —— ledger.com / metamask.io / trezor.io
• 软件启动要求输入 24 词 / 12 词 —— 真硬件钱包软件绝不要求
• 软件签名证书不是品牌官方实体 —— Mac 用 codesign、Windows 看签名属性
• Ledger / MetaMask / Trezor 等关键词搜出来带 Ad 的结果 —— 当成钓鱼默认值

已经输了 24 词

视同泄露。按《私钥泄露应急 · 五步抢救流程》全套五步：用全新硬件钱包初始化新地址、按优先级转走资产、撤销所有授权、清理设备、关联账户审计。同时举报钓鱼站到 Google Safe Browsing 和 phishing@ledger.fr。