釣魚網站是加密貨幣領域最普遍、也是造成損失最大的攻擊方式之一。駭客建立與真實專案幾乎完全相同的虛假網站,誘導使用者連線錢包、輸入助記詞或簽署惡意交易。據SlowMist(慢霧安全)統計,2025年僅釣魚攻擊造成的損失就超過10億美元。學會識別釣魚網站是每個加密貨幣使用者的必修課。
釣魚網站有哪些常見型別?
加密領域的釣魚網站主要分為以下幾類:
1. 仿冒交易所網站 模仿幣安、OKX等交易所的登入頁面,竊取你的賬號密碼和2FA驗證碼。
2. 仿冒錢包網站 假冒MetaMask、Trust Wallet等錢包官網,誘導你下載假App或在網頁上輸入助記詞。
3. 假冒DApp前端 模仿Uniswap、OpenSea等知名DApp,當你連線錢包並確認交易時,實際上是在簽署惡意授權。
4. 假空投領取頁面 聲稱你有未領取的空投代幣,引導你連線錢包並簽名來"領取",實際是授權惡意合約轉移你的資產。
5. 假客服/幫助頁面 偽裝成錢包或交易所的客服頁面,要求你"驗證錢包"時輸入助記詞。
如何識別釣魚網站的域名?
域名是識別釣魚網站最有效的方法。駭客常用以下手段偽造域名:
字母替換:用形似字母替換,如用"rn"代替"m"(rnetamask.io看起來像metamask.io)、用數字"0"代替字母"o"。
增加前字尾:如metamask-wallet.io、metamask-app.com、login-binance.com等。
不同頂級域名:用.xyz、.net、.co等替代官方的.io或.com。
Punycode攻擊:使用Unicode字元建立看起來相同的域名,如用西裡爾字母а替代拉丁字母a。
正確的官方域名記憶清單:
- MetaMask:metamask.io
- Uniswap:app.uniswap.org
- OpenSea:opensea.io
- Binance:binance.com
建議將常用網站加入瀏覽器收藏夾,每次透過收藏夾訪問,不要透過搜尋引擎或連結跳轉。
釣魚網站的傳播渠道有哪些?
瞭解釣魚網站的傳播方式,才能在源頭上防範:
- 搜尋引擎廣告:釣魚網站購買Google/Bing廣告,排在搜尋結果最前面
- 社交媒體私信:Twitter、Discord上的假客服主動傳送"幫助"連結
- 仿冒郵件:假冒交易所或專案方傳送的"安全驗證"郵件
- Telegram群組:群內機器人傳送的假連結
- NFT空投:透過空投給你的NFT攜帶釣魚連結
- 被黑的官方賬號:Twitter/Discord官方賬號被入侵後釋出的連結
連線錢包時如何防範?
即使網站是真的,連線錢包和簽名時也要保持警惕:
- 仔細閱讀簽名內容:MetaMask彈窗中會顯示你要簽名的具體內容,不要盲目確認
- 警惕異常授權請求:如果一個簡單的操作卻要求你授權所有代幣,說明有問題
- 注意簽名型別:eth_sign型別的簽名非常危險,它可以簽署任意訊息,正規DApp很少使用
- 檢查交易詳情:確認交易的目標地址、金額和Gas費是否合理
- 使用交易模擬工具:Pocket Universe、Fire等瀏覽器外掛可以在你確認交易前模擬結果
安全提醒
防釣魚需要養成良好的上網習慣,以下建議能幫助你大幅降低風險:
- 收藏官方網址:所有常用網站透過收藏夾訪問,不要每次都搜尋
- 安裝防釣魚瀏覽器外掛:如Pocket Universe、ScamSniffer等
- 不要點選陌生連結:特別是社交媒體私信和郵件中的連結
- 驗證SSL證書:確認網址欄顯示鎖圖示(但這不是唯一依據,釣魚網站也可能有SSL)
- 設定交易所防釣魚碼:在幣安等交易所設定防釣魚碼後,官方郵件都會包含你的專屬碼
- 保持懷疑態度:任何要求你"緊急操作"、"限時領取"的都高度可疑
安全地使用加密貨幣,從選擇可靠的平臺開始。幣安官網體驗專業的安全防護,也可以幣安官方APP,蘋果使用者參考iOS安裝教程獲得更好的使用體驗。
釣魚網站看起來和真網站一模一樣怎麼辦?
關注域名而不是外觀。釣魚網站的頁面可以100%複製真網站,但域名無法完全相同。養成透過收藏夾訪問和手動輸入域名的習慣,不依賴視覺判斷。
被釣魚網站騙了還能追回嗎?
非常困難。如果你在釣魚網站輸入了助記詞,應立即在真正的錢包中用該助記詞恢復並轉移所有資產。如果簽署了惡意授權,立即使用Revoke.cash撤銷授權。被轉走的資產通常無法追回。
手機上會遇到釣魚攻擊嗎?
會。手機上的釣魚攻擊同樣常見,包括假App、簡訊釣魚連結、社交媒體中的惡意連結等。而且手機螢幕較小,更難看清完整的URL地址,需要格外注意。
使用VPN能防止釣魚嗎?
VPN不能防止釣魚攻擊。VPN保護的是網路傳輸安全,但如果你主動訪問釣魚網站並輸入了資訊,VPN無法阻止。防釣魚的關鍵是識別和避免假網站。