搜尋"幣安"跳出來的前10條結果中,有3-4條是釣魚網站。這些假站外觀和官方几乎一模一樣,輸入賬號密碼就會被立刻劫持。本文給出辨別真假幣安網站的5個硬核方法,看完能在30秒內判定任何連結的真假。要下載官方客戶端請直接訪問幣安官網,移動端用幣安官方APP,iPhone使用者參考iOS安裝教程完成安裝。
幣安官方域名只有這幾個
記住這個白名單就夠了:
| 用途 | 官方域名 |
|---|---|
| 全球主站 | binance.com |
| 美國站 | binance.us |
| 日本站 | binance.co.jp |
| 新加坡站 | binance.sg(曾用,已遷移) |
| 內容社群 | academy.binance.com |
| 官方部落格 | blog.binance.com |
| 幣安智慧鏈瀏覽器 | bscscan.com |
| 官方郵件域 | @binance.com / @post.binance.com |
除此之外所有帶"binance"字樣的域名都是山寨站,包括但不限於:
- binance-cn.com
- binancee.com
- binance-login.com
- binance-app.net
- binance.vip
- binance.io
- web-binance.com
- my-binance.com
- binance-pro.com
釣魚網站的5種常見套路
套路1:字元替換
把 binance 中的字母換成形近字元:
- binance.com (i 換成土耳其語點 ı)
- blnance.com (i 換成 l)
- binance.co (.co 不是 .com)
- binance.com (n 換成 ŋ 或希臘字元)
這種"同形異義字攻擊(IDN homograph)"在瀏覽器位址列裡肉眼幾乎看不出差別。
套路2:子域名混淆
- binance.com.fakesite.com
- login.binance.scamdomain.net
- secure-binance.phishing.xyz
主域名永遠是最右邊的那兩段,比如 "xxx.binance.com" 的主域名是 binance.com,而 "binance.xxx.com" 的主域名是 xxx.com——這是假的。
套路3:廣告位劫持
在搜尋引擎裡投放"幣安"關鍵詞廣告,排名比官網還高。點進去是完全復刻的UI,但位址列是假域名。
Google、Bing的搜尋結果第一條經常是釣魚廣告。
套路4:二維碼替換
在微信群、Telegram社群裡發"幣安下載"二維碼,掃出來是釣魚站或木馬APK。
套路5:郵件連結釣魚
假冒幣安發郵件,標題是"您的賬戶出現異常"、"KYC待稽核"、"提現被拒",裡面的連結指向釣魚站。
快速辨別真假的5個方法
方法1:直接敲域名 不要點連結
養成習慣:永遠從瀏覽器位址列手輸 binance.com,不要從任何搜尋結果、郵件、聊天、二維碼進入。
方法2:用書籤儲存官網
第一次確認是真的官網後,立即加書籤。以後每次都從書籤進入,不經過搜尋引擎。
方法3:檢查SSL證書
點位址列左側的鎖圖示,檢視證書頒發物件:
- 真官網的證書頒發物件是
Binance Holdings Limited或*.binance.com,由 DigiCert / GlobalSign 等知名CA簽發 - 假網站大部分用免費的 Let's Encrypt,頒發物件只是域名字串
免費證書不等於假站,但真的幣安一定是付費EV或OV證書。
方法4:查反釣魚碼
這是最硬核的方法。如果你已經在幣安開啟了反釣魚碼(Anti-Phishing Code),那所有真正的幣安郵件都會自動帶上這段程式碼。
- 郵件裡沒有反釣魚碼 → 釣魚
- 反釣魚碼錯誤 → 釣魚
- 反釣魚碼正確 → 真實
沒有開反釣魚碼的使用者,立刻去開(在安全中心 → Anti-Phishing Code)。
方法5:反向驗證二維碼
幣安官方APP下載頁面有動態二維碼,每次重新整理都會變。如果你看到一個二維碼是靜態圖片且老出現在各種群裡,100%是釣魚。
移動端怎麼識別假APP
假的幣安APP通常透過以下渠道傳播:
- 微信群裡的"幣安最新版"安裝連結
- 假網站引導下載的APK
- 第三方應用市場的山寨APP
- 帶"Binance"字樣的一堆"Binance Pro"、"Binance Plus"
正確的下載入口
- iOS:美區/日區/港區 App Store 搜 "Binance"(大陸區沒有)
- Android:Google Play 搜 "Binance",或從官網下載APK
- 官方APK:只從 binance.com/download 下載
驗證APK真偽
下載APK後用以下方法驗證:
- 檢視檔案大小是否和官網標註一致
- 對比SHA-256雜湊值
- 檢查APK簽名證書指紋
真官方APK的簽名證書資訊是固定的,任何第三方修改過的APK簽名都會變。
萬一點進去釣魚站了怎麼辦
如果只是"看了一眼"
關閉頁面即可,不會有影響。
如果輸入了賬號密碼
立即做這幾件事:
- 開啟真正的 binance.com,修改登入密碼
- 強制所有裝置下線(安全中心 → 裝置管理)
- 檢查登入記錄有無異常
- 重新繫結2FA
- 啟用提現白名單
- 如果短時間內發現被盜,立即一鍵凍結賬戶
如果還下載了假APP
- 解除安裝假APP
- 掃描手機是否有木馬
- 恢復手機到出廠設定(如果不能確認手機已清潔)
- 重新在乾淨裝置上登入幣安檢查資產
常見問題
Q:百度/Google/Bing搜尋"幣安"第一條就是釣魚嗎?
A:不一定,但很多時候是。搜尋廣告位經常被釣魚站買下。最穩妥的做法是直接手輸 binance.com。
Q:反釣魚碼真的有用嗎?
A:非常有用。這是幣安為反釣魚專門設計的功能,每封真實郵件都會帶這段程式碼,釣魚者無法偽造,因為他們不知道你的反釣魚碼是什麼。
Q:假APP能偷我的2FA嗎?
A:能。很多假APP會在你登入時同步竊取2FA驗證碼,甚至抓取剪貼簿裡的助記詞。務必只從官方渠道下載。
Q:我點了釣魚連結但沒輸賬號密碼,需要擔心嗎?
A:基本不用。只要沒輸密碼、沒輸2FA、沒下載執行任何檔案,只是訪問本身不會洩露賬戶。但建議清除瀏覽器cookie和快取作為預防。