幣安全球註冊使用者超過2億,這麼大的使用者基數自然成了騙子的重點目標。假冒的幣安APP和釣魚網站層出不窮,做得越來越逼真,稍不留神就可能中招。真正安全的下載渠道只有一個,就是透過幣安官網獲取連結,然後下載幣安官方APP。蘋果使用者可以參考iOS安裝教程來確保你裝的是正版。今天就來系統講講怎麼識別這些假冒產品,避免踩坑。
釣魚網站的常見套路
釣魚網站就是模仿幣安官網的假網站,目的是騙你輸入賬號密碼。瞭解它們的套路才能更好地防範。
域名做手腳
這是最常見的手段。騙子會註冊一個跟幣安很像的域名,比如把binance.com裡的某個字母換掉或者加幾個字。常見的變體包括把字母"i"換成"l"、把"a"換成"@"、在前面或後面加單詞比如binance-login.com、binance-verify.net之類的。真正的幣安域名就是binance.com,其他變體不管看起來多像都是假的。
頁面完全複製
釣魚網站的頁面通常是直接把幣安官網的前端程式碼整個複製過來的,所以看起來跟真的一模一樣。登入框、Logo、顏色、佈局全都一樣,光看頁面你根本分不出來。但是有一個關鍵區別:你在釣魚網站上輸入的任何資訊,都會被直接傳送給騙子。
偽造安全證書
有些人以為看到瀏覽器位址列有小鎖頭圖示就說明網站是安全的。其實不是。申請SSL證書的門檻很低,騙子的釣魚網站一樣可以有https和小鎖頭。所以小鎖頭只能說明資料傳輸是加密的,並不能說明這個網站是合法的。
搜尋引擎廣告
騙子還會在搜尋引擎上投放廣告,搜尋"幣安"或"binance"的時候,廣告位可能會出現釣魚網站的連結。因為廣告排在搜尋結果的最上面,很多人不看仔細就直接點進去了。
假冒APP的識別方法
除了釣魚網站,假冒的幣安APP也是重災區。
非官方渠道的APK
有些所謂的"幣安APK"在各種論壇、QQ群、Telegram群裡傳播,這些檔案很可能被植入了木馬或者後門。安裝之後你看到的介面跟真的幣安一模一樣,但是你輸入的密碼、驗證碼全都被偷偷記錄下來了。更惡劣的是有些假APP會在你提幣的時候悄悄把收款地址換成騙子的地址。
第三方應用商店的假APP
一些非官方的應用商店稽核不嚴格,會出現假冒的幣安APP。這些APP可能用了幣安的Logo和名稱,但是開發者資訊不對。下載之前一定要看一下開發者名稱是不是"Binance Inc."。
山寨APP的特徵
假冒APP一般有幾個可以辨別的特徵。第一是安裝包大小不對,正版幣安APP大概80MB到100MB左右,如果你下載的APK只有十幾MB或者超過200MB,就要警惕了。第二是開啟之後某些功能不正常,比如客服入口點不了、部分頁面顯示異常。第三是會頻繁要求你輸入密碼和驗證碼,正常的幣安APP不會這樣。
實用的防釣魚技巧
知道了套路之後,來看看具體怎麼防範。
設定幣安反釣魚碼
幣安有一個反釣魚碼功能,你可以在安全設定裡設定一個自定義的字串。設定之後,所有幣安給你發的官方郵件都會包含這個反釣魚碼。如果你收到一封聲稱是幣安的郵件但是沒有你的反釣魚碼,那一定是假的。這個功能非常實用,強烈建議每個人都設定一下。
使用幣安官方驗證通道
幣安提供了一個官方驗證工具叫Binance Verify。你可以在裡面輸入域名、郵箱地址、電話號碼、微訊號、Telegram使用者名稱等等,系統會告訴你這個是不是幣安的官方渠道。遇到任何可疑的聯絡方式都可以拿去驗證一下。
收藏官網地址
最簡單的防釣魚方法就是把幣安的官方網址加入瀏覽器書籤,以後每次都從書籤進入,不要透過搜尋引擎去搜。這樣就完全避免了因為點錯連結而進入釣魚網站的風險。
檢查APP的數字簽名
安卓手機可以用一些工具檢視APP的數字簽名資訊,正版幣安APP的簽名是固定的。如果你下載了一個APK檔案不確定真假,可以跟官方渠道下載的版本對比一下簽名是否一致。
常見的釣魚場景
瞭解騙子最常用的攻擊場景,能幫你在遇到的時候立刻警覺。
假客服
有人會在社交媒體上假冒幣安客服,主動私信你說你的賬號有異常需要驗證。他們會讓你點選一個連結"驗證身份",那個連結就是釣魚網站。記住一點:幣安客服永遠不會主動私信你,也永遠不會要你在第三方連結上輸入密碼。
空投騙局
"恭喜你獲得了幣安空投獎勵,點選領取"——類似的資訊滿天飛。點進去的頁面會讓你連線錢包或者輸入私鑰來"領取"獎勵,然後你錢包裡的幣就被轉走了。真正的空投不需要你提供私鑰或者密碼。
假交易群
有些Telegram群或者微信群號稱是"幣安官方交易群",群裡有所謂的"分析師"帶你操作。他們會給你發一個下載連結說是最新版的幣安APP,實際上是假冒APP。幣安沒有任何所謂的"帶單群"或者"分析師群"。
郵件釣魚
你可能收到一封郵件說你的賬號有安全風險需要立即處理,郵件裡有一個"立即處理"的按鈕。點進去的頁面跟幣安登入頁一模一樣。這就是典型的郵件釣魚。先看看郵件裡有沒有你設定的反釣魚碼,再看發件人地址是不是幣安的官方域名。
已經中招了怎麼辦
如果你懷疑自己已經在釣魚網站上輸入了資訊,立刻按以下步驟操作。
立刻改密碼
第一時間登入真正的幣安官網或APP,修改賬號密碼。速度要快,爭分奪秒。
檢查並關閉可疑API
進入API管理頁面,檢視有沒有你不認識的API Key。如果有的話立刻全部刪除。
凍結賬號
如果你發現資產已經有異常變動,在幣安APP的安全設定裡有一個"禁用賬戶"的選項,點選之後賬號會被臨時凍結,所有操作都會被暫停。這樣可以防止進一步的損失。
聯絡幣安客服
透過APP內的線上客服或者官方郵箱聯絡幣安安全團隊,說明情況。他們會幫你排查賬號的異常操作,協助你恢復賬號安全。
養成良好的安全習慣
防釣魚不是一次性的事情,需要養成日常的安全意識。
不要隨便點連結
不管是郵件、簡訊還是社交媒體上的連結,涉及到幣安或者任何加密貨幣平臺的,都不要直接點選。自己手動輸入網址或者從書籤進入。
定期檢查賬號安全
每隔一段時間登入幣安檢查一下安全設定、登入裝置、API Key列表。及時發現異常比事後補救要好得多。
保持APP更新
始終使用最新版本的幣安APP。幣安會不斷修復安全漏洞和增加新的安全功能,舊版本可能存在已知的安全問題。
多渠道交叉驗證
收到任何關於幣安的資訊,都可以去幣安的官方Twitter、官方公告頁面交叉確認。騙子可以偽造郵件和網站,但是很難同時偽造所有官方渠道。
總結
釣魚攻擊的核心原理就是讓你在假的地方輸入真的資訊。只要你記住幾個關鍵原則就能大大降低中招的機率:始終從官方渠道下載APP、不點來路不明的連結、設定反釣魚碼、對任何主動聯絡你的"客服"保持警惕。網路世界裡多一分謹慎少一分損失。