CoinIX DOCS
CTRL K

釣魚網站長什麼樣?4種典型騙局識別

梳理加密貨幣行業4種典型釣魚網站型別,從仿冒交易所、假空投頁面到惡意DApp,給使用者的識別和防範實操參考。

2026-04-28 17 分鐘閱讀 CoinIX 編輯部

釣魚網站是加密貨幣行業使用者損失最多的攻擊手法。本文梳理 4 種典型釣魚網站型別。先給結論:仿冒域名 + 仿冒 UI 是最常見的釣魚形態,搜尋引擎廣告位 + 社交媒體投放是釣魚站的主要分發渠道,直接收藏官方域名 + 不點搜尋結果是最有效防護。日常賬戶可從 幣安官網 入口註冊主賬戶,安卓裝 幣安官方APP,蘋果使用者切換海外 Apple ID 參考 iOS安裝教程

一、4 種典型釣魚網站

型別 目標 分發渠道 損失程度
仿冒交易所登入 盜取賬號密碼 + 2FA 搜尋引擎廣告 / 推文 單賬戶 1-100 萬美元
仿冒錢包擴充套件 盜取錢包助記詞 Chrome Web Store / 釣魚連結 單錢包資產全部
假空投釣魚頁 誘導 Approve 惡意合約 Twitter / Telegram 錢包內代幣部分
假 DApp 網站 誘導簽名惡意交易 Twitter / Discord 錢包內代幣部分

二、型別 1:仿冒交易所登入

典型仿冒域名:

真域名 釣魚域名示例 字元差異
binance.com binnance.com 多一個 n
binance.com b1nance.com 1 替換 i
binance.com binance-vip.com 加字尾
binance.com mybinance.com 加字首
binance.com binance.cm TLD 替換 .cm
okx.com okxx.com 多一個 x
okx.com okx-login.cn 加字尾 + .cn

釣魚站 UI 模擬度極高:通常是從官方站抓取整個前端程式碼,僅修改後端 API 指向惡意伺服器。視覺上 99% 一致,難以分辨。

釣魚流程:

  1. 使用者在百度/谷歌搜尋"幣安官網"
  2. 點選搜尋結果廣告位(實際是釣魚站)
  3. 輸入賬號密碼(被釣魚站記錄)
  4. 輸入 2FA 驗證碼(被釣魚站實時記錄)
  5. 釣魚站後臺立即用賬號密碼登入真幣安 + 輸入截獲的 2FA → 提幣

防護要點:

  • 不在搜尋引擎搜尋官網(前 3 條廣告位 50%+ 是釣魚)
  • 直接收藏官方域名到瀏覽器書籤
  • 檢查位址列 URL 是否完全一致
  • 檢查 SSL 證書頒發組織

Q:怎麼驗證幣安/歐易的真實官方域名?

官方域名驗證方法:

  1. 幣安官方域名:binance.com(全球)
  2. 歐易官方域名:okx.com(原 okex.com 已停用)
  3. 官方推特賬號:@binance / @okx(帶藍標)
  4. 檢查 SSL 證書:點位址列鎖圖示 → 證書頒發給 Binance Holdings Limited 或 Aux Cayes FinTech Co. Ltd.(OKX)

收藏官方域名到瀏覽器書籤後,每次直接點選書籤訪問,不再依賴搜尋。

三、型別 2:仿冒錢包擴充套件

錢包擴充套件(MetaMask、Phantom)的釣魚包括:

1. 仿冒 Chrome 擴充套件商店上線

釣魚者上傳名字相似的擴充套件(如 "MetaMask Wallet" vs 官方 "MetaMask"),UI 幾乎一致。使用者安裝後輸入助記詞 → 釣魚者立即獲取。

典型案例: 2024 年 Q3 Chrome Web Store 上線了一個名為 "MetaMask Premium" 的擴充套件,安裝數 5000+,導致約 200 萬美元資產被盜。Chrome 14 天后才下架。

防護:

  • 從官方網站下載連結進入應用商店(metamask.io/download)
  • 檢查擴充套件開發者(應該是 "MetaMask" 或 "ConsenSys Software Inc.")
  • 看下載量(真 MetaMask 1000 萬 +,釣魚版本通常幾千)
  • 看評價(釣魚版本評價少且新)

2. 釣魚站要求"重新輸入助記詞"

惡意網站彈窗"您的錢包需要重新啟用,請輸入助記詞"。MetaMask 等真錢包永遠不會主動彈窗要求輸入助記詞

防護:

  • 任何要求輸入助記詞的彈窗都是釣魚
  • MetaMask 只在"匯入錢包"流程要助記詞(使用者主動操作)

3. 仿冒 MetaMask 移動 APP

App Store / Google Play 上線名字相似的 APP(如 "MetaMask Mobile",但開發者非 MetaMask 團隊)。

防護:

  • iOS:搜尋 "MetaMask",開發者必須是 "MetaMask"(藍色認證標識)
  • Android:開發者必須是 "MetaMask"(Google Play 認證)
  • 從 metamask.io 直接下載連結(避開應用商店搜尋)

Q:MetaMask 助記詞輸入頁面真的安全嗎?

MetaMask 的官方助記詞輸入介面是安全的(資料存本地加密)。但需要:

  • 確認是從官方擴充套件開啟(位址列顯示 chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/...)
  • 不在任何網頁彈窗中輸入
  • 不透過任何"恢復連結"輸入(官方不會透過連結要求輸入)

四、型別 3:假空投釣魚頁

空投釣魚利用使用者"領免費幣"心理。

典型場景:

  1. Twitter 推文:"$XXX 專案空投開啟,連線錢包領取!"
  2. Telegram 群:"官方空投活動,限時 24 小時"
  3. 郵件:"您有未領取的 $XXX 空投價值 5000 美元"

釣魚網站 UI:

  • 仿照真實空投頁面(Optimism、Arbitrum、Wormhole 歷史空投)
  • "Connect Wallet" 按鈕誘導連線 MetaMask
  • "Claim" 按鈕觸發惡意 Approve 簽名

使用者簽名後:

  • 表面:似乎在"領取空投"
  • 實際:授權惡意合約無限提取你錢包內 USDC / USDT / WETH

真實案例:

2025 年 5 月某使用者在 Twitter 看到"WLFI 空投開啟"連結(World Liberty Financial 真實專案),點選後簽名了一個 Approve 交易,授權惡意合約提取了錢包內 8500 USDC。

識別要點:

  • 官方空投不需要"先付 Gas"或"先 Approve"
  • 真空投通常透過鏈上 Merkle Tree 直接發到錢包
  • 官方空投資訊會在官方推特、Discord、Mirror 公佈
  • 任何要求 Approve 才能領空投的都是釣魚

防護要點:

  • 空投頁面只信官方域名(直接輸入官方文件的領取連結)
  • 簽名前看仔細:合約地址、授權數量、授權代幣
  • 使用專門的"領空投錢包"(錢包內只放少量資產)

Q:怎麼找官方空投的真實領取頁?

官方空投驗證:

  1. 官方推特賬號(帶藍標 + 已知賬號)
  2. 官方 Discord 公告頻道
  3. DefiLlama Airdrops(聚合空投資訊)
  4. CoinGecko / CoinMarketCap 專案頁面的官方連結

不要相信

  • 推文回覆中的"我也領到了,地址是 xxx"(機器人)
  • Discord DM 私信的領取連結
  • Telegram 群裡的"快去領取"連結

五、型別 4:假 DApp 網站

仿冒主流 DApp(Uniswap、OpenSea、Aave)網站。

典型仿冒 DApp 域名:

真域名 釣魚域名
app.uniswap.org uniswap-app.com
opensea.io opensea-eth.com
app.aave.com aave-defi.com
curve.fi curve-finance.io

釣魚 DApp 的危險:

  1. 簽名陷阱:表面是"批准代幣交換",實際是"無限提取代幣"
  2. NFT 釣魚:表面是"鑄造 NFT",實際是"轉移 NFT 所有權"
  3. 價格操縱:用極差匯率交換(使用者 1 ETH 換 100 USDC,正常 3000 USDC)

真實案例:

2024 年 12 月某使用者在搜尋引擎搜尋"OpenSea",點選廣告位的釣魚站。準備購買 NFT 時簽名了一個交易,表面是"購買 NFT",實際是"將 NFT 轉移給攻擊者地址",損失了一個 BAYC NFT(約 12 萬美元)。

防護要點:

  • DApp 網站也要直接收藏官方域名
  • 簽名前看交易詳情(MetaMask 會顯示互動合約地址)
  • 使用 Rabby Wallet(比 MetaMask 更詳細的簽名解讀)
  • 大額交易先小額測試

Q:Rabby Wallet 比 MetaMask 安全嗎?

Rabby Wallet(DeBank 團隊出品)在簽名解讀上更詳細

  • MetaMask:僅顯示合約地址 + 資料
  • Rabby:解讀交易意圖("該交易將轉出 1.5 ETH 到 0xabc...")
  • Rabby:顯示交易餘額變化預覽

Rabby 更適合 DeFi 高頻使用者,但使用者量不及 MetaMask。日常用 MetaMask + DeFi 用 Rabby 是常見組合。

六、釣魚站的傳播渠道

釣魚網站的主要分發渠道:

1. 搜尋引擎付費廣告位

百度、Google 的搜尋結果前 3 條通常是付費廣告位。釣魚者透過 Google Ads 投放仿冒站,關鍵詞如"幣安官網"、"USDT 購買"。

Google 對加密貨幣廣告政策

  • 2024 年開始要求廣告主提交 KYC + 加密貨幣業務許可
  • 但仍有釣魚站透過"灰色加密貨幣業務"申報透過稽核
  • 釣魚站平均存活 3-7 天后被舉報下架

2. 社交媒體投放

  • Twitter:付費推廣 + 假賬號回覆刷屏
  • Telegram:在加密貨幣群和 DM
  • Discord:專案社群中的"假管理員"DM

3. SEO 排名最佳化

釣魚者批次建立仿冒站點,透過 SEO 最佳化進入搜尋結果第 2-3 頁。中文關鍵詞"幣安官網下載"、"歐易註冊"等 SEO 排名前 5 的部分網站是仿冒站。

4. 郵件釣魚

  • "您的幣安賬戶存在異常,請立即登入驗證"
  • "您的提現需要額外驗證,點選連結確認"
  • 郵件域名相似(如 noreply@binance-mail.com 而非 noreply@binance.com)

Q:怎麼識別釣魚郵件?

5 步識別:

  1. 檢查發件人完整郵箱(不只看顯示名)
  2. 檢查郵箱域名:是否是官方域名(@binance.com 而非 @bnannce.com)
  3. 不點選郵件中的連結:直接登入官方網站檢視
  4. 檢查郵件內的反釣魚碼:幣安/歐易支援設定反釣魚碼,真郵件會顯示
  5. 可疑郵件直接刪除

七、設定反釣魚碼

主流交易所支援設定反釣魚碼(Anti-Phishing Code)。

幣安反釣魚碼設定:

  1. 登入幣安賬戶
  2. 安全設定 → 反釣魚碼
  3. 設定一個 4-20 位的字串(如 "MyB1nance2026")
  4. 儲存

生效後:

  • 幣安傳送的所有官方郵件都會在郵件頂部顯示該反釣魚碼
  • 收到沒有反釣魚碼或反釣魚碼錯誤的郵件 → 釣魚

歐易反釣魚碼: 類似流程,"安全中心 → 反釣魚碼"

Bybit 反釣魚碼: "安全中心 → 反釣魚碼"

反釣魚碼設定原則:

  • 不能包含個人資訊(姓名、生日)
  • 混合大小寫 + 數字
  • 每 6 個月更換一次
  • 不告訴任何人

Q:反釣魚碼會被釣魚站偷嗎?

反釣魚碼不存在你的密碼 / 郵箱中,釣魚站難以獲取。即使你的賬號密碼被釣魚,反釣魚碼也不會同步洩露(除非你主動告訴騙子)。

這是反釣魚碼的核心防護機制:釣魚者無法偽造你的反釣魚碼,所以無反釣魚碼的"幣安郵件"必然是釣魚。

八、安全工具清單

防釣魚推薦工具:

1. 瀏覽器擴充套件:

  • PhishFort:鏈上釣魚地址資料庫(免費)
  • Pocket Universe:MetaMask 簽名解讀(訂閱制)
  • Wallet Guard:釣魚站警告 + 簽名解讀
  • Scam Sniffer:鏈上釣魚站監控

2. 鏈上工具:

  • Revoke.cash:撤銷代幣授權
  • Etherscan Token Approval:檢查授權列表
  • DeBank:錢包資產 + 互動歷史

3. 瀏覽器設定:

  • HTTPS Everywhere:強制 HTTPS(部分瀏覽器內建)
  • uBlock Origin:廣告 + 釣魚站攔截
  • NoScript:阻止惡意 JavaScript(高階使用者)

Q:付費防釣魚服務(如 Pocket Universe)值得用嗎?

付費防釣魚服務對頻繁 DeFi 使用者有價值:

  • 簽名解讀:實時翻譯複雜合約呼叫
  • 釣魚資料庫:覆蓋 50 萬 + 已知釣魚地址
  • 價格 5-10 美元/月

但對日常只用 CEX的使用者用處不大(CEX 內部交易沒有 Approve 風險)。

九、被釣魚後的應急處理

1. 錢包被釣魚簽名 Approve

  • 立即轉移資產:把 USDC / USDT / WETH 等可能被授權的代幣轉到新錢包
  • 撤銷所有授權:用 Revoke.cash 撤銷所有 Approve(即使是非釣魚的授權也建議都撤銷)
  • 不再使用被釣魚的錢包:建立新錢包重新生成助記詞
  • 報警 + 鏈上分析公司協助追蹤(資產 > 5 萬美元值得追)

2. 交易所賬號被釣魚登入

  • 立即修改密碼 + 關閉 API + 關閉 OAuth
  • 聯絡客服凍結賬戶
  • 檢查提幣歷史:是否有未授權提幣 → 立即申訴
  • 賬戶餘額轉移:把剩餘資產轉到新郵箱註冊的新賬戶

Q:被釣魚後能拿回錢嗎?

資產追回率:

  • CEX 賬號被盜:50-80%(CEX 風控可能攔截 + 部分賠付)
  • DeFi 錢包被釣魚:< 10%(鏈上交易不可逆)
  • 跨平臺被偷:< 30%(依賴 CEX 風控凍結)

預防比追回重要 100 倍

十、常見 FAQ

Q:HTTPS 鎖圖示是不是就一定安全?

不是。HTTPS 只證明"通訊加密",不證明"網站是合法的"。釣魚網站也可以買 SSL 證書

需要進一步檢查:

  • 證書頒發組織(點鎖圖示檢視)
  • 域名拼寫
  • WHOIS 註冊時間

Q:用瀏覽器無痕模式更安全嗎?

無痕模式只防止本地 Cookie 記錄,不防釣魚。無痕模式下訪問釣魚站仍會被偷資產。

Q:手機和電腦哪個更容易被釣魚?

手機略安全:

  • 手機瀏覽器無外掛干擾
  • iOS 應用商店稽核嚴
  • 複製貼上攻擊少

電腦更危險:

  • 瀏覽器擴充套件可能被劫持
  • 木馬傳播多
  • 多視窗操作易混淆

但**核心防護"不點搜尋結果 + 收藏官方域名"**兩端都通用。

Q:釣魚站會自動跑路嗎?

釣魚站平均存活 3-14 天后被以下方式下架:

  • 使用者舉報到 Cloudflare / 域名註冊商
  • 瀏覽器(Chrome / Firefox)拉黑
  • 谷歌廣告 / 推特封禁
  • 域名服務商主動下架

新釣魚站每天 50-200 個上線,是貓鼠遊戲。

Q:把賬號繫結 Google / Apple 登入是否更安全?

部分場景更安全

  • Google / Apple 自帶 2FA
  • 減少密碼管理負擔

但有新風險

  • Google / Apple 賬號被盜 → 連帶交易所賬號被盜
  • 第三方登入的"恢復流程"可能被繞過

最穩的策略:用獨立郵箱 + 獨立密碼 + Google Authenticator 2FA + 反釣魚碼。

Q:被釣魚站要求"輸入私鑰"應該怎麼辦?

任何要求輸入私鑰/助記詞的網站 100% 是釣魚

  • MetaMask 不需要你重新輸入助記詞啟用
  • 交易所不需要私鑰
  • 所有錢包恢復操作只在使用者主動"匯入錢包"流程

直接關閉網頁 + 檢查電腦是否被植入木馬

Q:釣魚站的 SSL 證書能不能驗真?

可以但不能完全可信。證書辦法:

  1. EV 證書(綠色鎖,位址列顯示組織名):釣魚站難獲取
  2. DV 證書(普通證書):釣魚站容易獲取(Let's Encrypt 免費)

**幣安、歐易等大平臺用 EV 證書,證書頒發給"Binance Holdings Limited"**等明確組織名。如果證書顯示個人名或離譜組織名 → 釣魚。

Q:用密碼管理器自動填充密碼能防釣魚嗎?

可以。密碼管理器(1Password / Bitwarden)會只對完全匹配的域名自動填充

  • 真 binance.com → 自動填充
  • 釣魚 binnance.com → 不填充(密碼管理器報警)

密碼管理器自動填充失敗本身就是釣魚訊號

資料來源

  • Chainalysis 2025 年度加密犯罪報告
  • SlowMist 釣魚網站資料庫
  • PhishFort 鏈上釣魚地址列表
  • 各交易所安全提示官方公告

風險提示:本文為獨立第三方梳理,不構成投資和法律建議。釣魚威脅持續演變,所有資料為 2026 年 4 月。

編輯此頁 最近更新: 2026-04-28