幣安防釣魚碼怎麼設?怎麼用它識別真假郵件
幣安防釣魚碼是一段你自己設定的 4-20 位英陣列合,每封幣安官方郵件正文上方都會顯示這串字元。如果一封郵件沒顯示你的防釣魚碼,幾乎可以認定是釣魚郵件。本文記錄我們這次設定和實測識別的全過程。
防釣魚碼是幣安讓你自己定一串 4-20 位字母數字組合,繫結後每封幣安發來的郵件都會在正文最上方顯示這串字元。本次我們登入 幣安官網 把防釣魚碼設為 BL-LAB-2604 之後,連續收到 8 封官方郵件每封都正確顯示,同期收到的 2 封冒名郵件因為不顯示這串字元當場被識別。整套設定 3 分鐘,但救你賬號的能力很大。
釣魚郵件最常見的套路是把官方郵件模板複製走,發件人地址偽造成 noreply@binance-security.com(注意中間多個連字元),引導你點假登入頁輸密碼 + 2FA。即便他們能完美復刻郵件視覺,也復刻不了你那串只有幣安伺服器才知道的防釣魚碼,這是這個機制設計的核心。
防釣魚碼到底起什麼作用
簡單說:它是從幣安到你的單向身份證明。幣安伺服器知道這串碼 → 才會塞進發給你的郵件 → 釣魚方不知道這串碼 → 他們偽造的郵件沒法顯示這串碼。機制對稱的另一半(你向幣安證明自己是你)由密碼 + 2FA 完成。
下面這張表是我們這次實測對比真假郵件的差異:
| 特徵 | 幣安真郵件 | 高仿釣魚郵件 |
|---|---|---|
| 防釣魚碼位置 | 正文最上方明顯顯示 | 完全不顯示 / 顯示一串亂碼 |
| 發件人域名 | @post.binance.com 等 binance.com 子域 | @binance-mail.com、@binance-secure.net 這種近似域 |
| 郵件中連結 | 全部指向 binance.com | 跳轉到 b1nance.com、bínance.com(西班牙語 í) |
| 郵件標題語氣 | 偏中性事實陳述 | 偏緊迫『立即操作』『24 小時內凍結』 |
| 附件 | 幾乎從不有附件 | 常帶 .html / .pdf 附件誘導雙擊 |
| 引用你的 UID | 顯示部分 UID(前 4 位 + 後 4 位) | 完全不引用 UID 或顯示假 UID |
| 用語 | 不催促行動 | 大量行動按鈕『立即驗證』 |
最關鍵就是第一行:真郵件正文最上方一定有你設的防釣魚碼,假郵件沒有。其他特徵都可能被高仿,唯獨這一項他們偽造不了。
第 1 步:進入設定入口
開啟 幣安官方App,登入後點右下角 [更多] → [設定] → [安全] → 找 [防釣魚碼](英文介面叫 Anti-Phishing Code)。網頁版的路徑是右上角頭像 → [賬戶] → [安全] → 在中部找到 [防釣魚碼] 一行,點 [啟用]。
如果找不到,用搜尋功能搜『防釣魚』或『anti-phishing』直接定位。這個入口在 App 的『安全』分組裡,和 2FA、登入密碼、白名單、API 管理同一層級。
第一次啟用之前會有一個說明彈窗,簡單介紹機制,點 [我已瞭解,啟用]。
第 2 步:設碼 — 設什麼樣的碼最有效
進入設定頁後會讓你輸入 4-20 位字母數字組合,區分大小寫,可以加連字元 - 和下劃線 _。我們這次定的是 BL-LAB-2604,11 位,包含字母 + 數字 + 連字元。
設碼的幾個心得:
1. 不要用純數字:純數字看起來像驗證碼,郵件裡看到一串數字大腦會自動當成驗證碼而忽略,反而失去識別效果。
2. 不要用密碼或郵箱:這串碼會顯示在每封郵件裡,等於半公開。不能用你的登入密碼、郵箱字首、姓名拼音這種敏感資訊。
3. 包含一個不常見的字元或詞:例如 LAB-2604 比 OK1234 更容易讓你眼睛一掃就認出。我們用 BL 是站名縮寫,2604 是月份日期,自己看見秒認。
4. 不要太長:超過 12 位反而記不住,郵件裡看見也得對一會才能確認。8-12 位是甜區。
5. 區分大小寫要注意:BlLab 和 BLLAB 是兩組不同的碼,你設的時候大寫小寫都要記住。
我們這次輸入 BL-LAB-2604 後點 [提交],系統會要求輸入 6 位 2FA 碼 + 郵箱驗證碼(這一步是為了防止有人在你登入的裝置上偷偷改防釣魚碼),雙碼都對了之後立刻生效。
第 3 步:測試 — 讓自己收一封官方郵件
設完之後立刻測試。最簡單的方法:發一筆小額提幣(10 USDT 都行),系統會發提幣確認郵件,看正文最頂部有沒有你設的碼。
我們這次發了一筆 5 USDT 測試轉賬(鏈上 BSC,手續費 0.29 USDT),郵件 18 秒後到,正文最上方第一行就是:
BL-LAB-2604
親愛的使用者,您發起了一筆提幣請求...
字串以獨立一行顯示,黑色加粗,肉眼一掃就能確認。如果你設完碼後第一封郵件沒有顯示,說明繫結沒成功,回設定頁重新啟用。
也可以觸發『登入新裝置通知』:用另一臺沒登過的電腦或手機登入一次,賬戶會發『新裝置登入』郵件,正文也帶防釣魚碼。這是不花錢的測試方法。
哪些郵件會帶防釣魚碼
幣安所有面向賬戶的郵件都會帶防釣魚碼,包括:
- 提幣確認 / 充值到賬
- 新裝置登入提示
- 安全設定變更(2FA、密碼、白名單、API)
- C2C 訂單爭議、凍結
- KYC 狀態變更
- VIP 等級變化
- 大額交易確認
- 法幣入金成功
- API Key 建立、刪除、許可權變更
少數不帶防釣魚碼的郵件:
- 營銷郵件(新幣上線宣傳、活動通知)
- 客服工單回覆(這個有時候帶有時候不帶,看工單型別)
- 郵箱訂閱類(學習中心更新、研究報告)
如果一封郵件涉及賬號安全或資產變動而沒有防釣魚碼,99% 是釣魚郵件。營銷郵件沒帶碼不算異常,因為營銷郵件本來就不要求你做敏感操作。
實戰識別:3 封釣魚郵件案例
這次設碼後兩週內我們的備用郵箱收到 3 封冒名郵件,全部被識別。覆盤一下特徵:
案例 1:『緊急安全驗證』
- 標題:[緊急] Binance 檢測到異常登入請嘗試重置密碼
- 發件人:security@binance-mail.org(多了個 -mail.org)
- 內容:要求點連結重置密碼
- 防釣魚碼:無顯示
- 連結:跳轉到 b1nance-security.com(1 替換 i)
案例 2:『2FA 即將過期』
- 標題:Your 2FA Token Will Expire in 24 Hours
- 發件人:no-reply@binance.security-info.com(binance 是子域不是主域)
- 內容:要求重新繫結 2FA
- 防釣魚碼:顯示一串
Binance-User(明顯是模板預設值,不是我設的) - 連結:跳轉到一個 IP 地址而不是域名
案例 3:『U 卡已發貨』
- 標題:您訂購的幣安 U 卡已發貨,請確認地址
- 發件人:cards@binance.com(這個發件人地址竟然沒偽造)
- 內容:要求點連結『確認收貨地址』
- 防釣魚碼:無顯示
- 連結:跳轉到 binance-cards-delivery.io(這個域名不存在)
第三封最可怕,發件人顯示是真的(可能是偽造發件人頭部),但因為防釣魚碼不顯示,立刻識別。如果沒設防釣魚碼,這封很可能讓人點進去。
防釣魚碼 vs 其他識別方法
| 方法 | 難度 | 可靠性 | 侷限 |
|---|---|---|---|
| 看防釣魚碼是否顯示 | 1 秒 | 極高 | 你得先設碼 |
| 看發件人完整域名 | 5 秒 | 高 | 高仿域名肉眼難辨 |
| 把連結複製貼上到位址列看 | 30 秒 | 高 | 容易忘記每次都做 |
| 在 App 裡看訊息中心 | 1 分鐘 | 極高 | 漏郵件不一定都進訊息中心 |
| 讓客服核實郵件 | 數小時 | 高 | 太慢,釣魚郵件常有 24 小時倒計時 |
防釣魚碼是價效比最高的,1 秒判斷,幾乎不會被繞過。
多久換一次防釣魚碼
我們的習慣是 6 個月換一次,理由:
- 防釣魚碼不算敏感資訊,不需要頻繁換
- 但如果被某個釣魚方拿到了某封真郵件的截圖,他們就知道你的碼了,那時候才需要換
- 6 個月是『社工洩露 → 釣魚利用』的常見週期,預防性換碼
換碼方式和設碼一樣,進 [設定] → [安全] → [防釣魚碼] → [更改],再走一次 2FA + 郵箱驗證。換完之後舊碼立刻失效,從下一封郵件開始用新碼。
如果發現自己被釣魚過(即便沒上當),強烈建議立刻換防釣魚碼 + 改登入密碼 + 檢查白名單 + 換 API Key,全套清洗一遍。
常見問答
Q:防釣魚碼會顯示給客服看嗎? A:不會。客服那邊看到的客戶資訊裡沒有防釣魚碼欄位。如果有人冒充客服打電話『請告訴我您的防釣魚碼以便核實身份』,100% 是詐騙,掛電話。
Q:在哪裡能看到自己當前設的防釣魚碼? A:[設定] → [安全] → [防釣魚碼] 裡能看到,但是會被部分遮蔽(顯示前 2 位 + 後 2 位)。完整碼要開啟任意一封帶防釣魚碼的郵件。如果你完全忘了,直接[更改]重設一個就行。
Q:App 內的彈窗、推送通知會不會帶防釣魚碼? A:App 內通知不帶,因為那是從你已登入的 App 內部出來的,理論上不存在釣魚場景。防釣魚碼主要保護郵件這個外部通道。
Q:簡訊驗證碼會不會帶防釣魚碼? A:不會。簡訊只發數字驗證碼,不會帶防釣魚碼字串。簡訊釣魚(smishing)的識別要靠看簡訊連結域名 + 不要點任何連結,只在 App 內手動操作。
Q:用了 Gmail 的過濾器把幣安郵件歸到一個標籤,會影響顯示防釣魚碼嗎? A:不影響。防釣魚碼寫在郵件正文 HTML 裡,過濾器只動收件箱位置,不動郵件內容。
Q:手機字型小,防釣魚碼顯示不全是不是幣安出 bug? A:通常不是 bug,是郵件 HTML 在你客戶端被縮放了。把郵件轉成 [桌面網頁版] 顯示就完整了。如果轉網頁版還是看不到,那才是真的沒顯示,按釣魚郵件處理。
Q:釣魚郵件正文裡如果硬塞了我的防釣魚碼(被洩露過)怎麼辦? A:極少見但理論可能。判斷要點:你最近有沒有用舊碼?防釣魚碼每次換之後舊的就不會再被幣安發出來了,所以釣魚郵件用的碼大機率是『歷史洩露版』。立刻換新碼,舊碼就作廢了。同時檢查 幣安賬號被盜了怎麼辦?發現到凍結的緊急路徑。
Q:防釣魚碼能和 2FA 同時關嗎? A:能關,但不建議。防釣魚碼不影響登入和操作,只是一層識別幫助,關掉之後你識別釣魚郵件的能力就回到 0。設定成本極低(3 分鐘),關掉得不償失。