# 釣魚網站 > **最後更新:2026 年 1 月** ## 釣魚網站是加密詐騙的主要手法,詐騙者創建假冒的交易所、錢包或 DeFi 網站,誘騙用戶輸入私鑰或授權惡意交易。 你收到一封 Email,看起來是 Coinbase 發的。 「您的帳戶有異常活動,請立即驗證。」 你點擊連結,登入頁面看起來完全正常。 你輸入了帳號密碼... 然後你的帳戶被盜了。 這就是**釣魚攻擊**。 ### 什麼是釣魚? 釣魚(Phishing)是一種社交工程攻擊: 1. 詐騙者偽裝成可信任的實體 2. 誘騙受害者提供敏感資訊 3. 利用這些資訊盜取資產 在加密世界,「敏感資訊」包括: * 交易所帳號密碼 * 錢包助記詞 / 私鑰 * 簽名授權 ### 常見的釣魚手法 **1. 假冒交易所網站** 詐騙者創建假的: * Binance * Coinbase * OKX * 其他交易所 網址可能是: * `binance-secure.com`(真的是 binance.com) * `coinbase-verification.com` * `okx-login.net` **2. 假冒錢包連接頁面** 假裝是 DeFi 協議的錢包連接: * 「連接你的錢包以領取空投」 * 「同步你的錢包以修復錯誤」 實際上是要你: * 輸入助記詞(絕對不要!) * 簽署惡意交易 **3. 假冒 NFT 平台** * 假的 OpenSea * 假的 Magic Eden * 誘騙你連接錢包並授權 **4. Google 廣告釣魚** 詐騙者購買 Google 廣告: * 搜尋「Uniswap」 * 第一個結果可能是假網站 * 看起來像官方 **5. 社群媒體連結** * Twitter/X 上的假帳號 * Discord 私訊 * Telegram 群組 ### 識別釣魚網站 **1. 檢查網址** 正確:`https://www.binance.com` 錯誤: * `https://www.binance-secure.com` * `https://binance.com.verify.site` * `https://binnance.com`(多一個 n) **注意**: * 檢查域名,不只是開頭 * 注意細微的拼寫差異 * 假網站可能有 HTTPS(鎖頭圖示),這不代表安全 **2. 檢查 SSL 憑證** * 點擊瀏覽器的鎖頭圖示 * 查看憑證頒發給誰 * 假網站的憑證資訊通常不對 **3. 使用書籤** * 把常用網站加入書籤 * 從書籤進入,不從搜尋或連結 **4. 驗證社群帳號** * Twitter 官方帳號有驗證標記 * Discord 官方伺服器有驗證 * 不要相信私訊的「官方人員」 **5. 不尋常的請求** 正規網站**不會**要求: * 輸入助記詞 * 「同步」或「驗證」錢包 * 透過連結重設密碼(而非你主動要求) ### 惡意簽名 更隱蔽的釣魚不是偷你的助記詞,而是讓你**簽署惡意交易**。 **授權攻擊** 1. 你連接錢包到假 DeFi 網站 2. 網站要求你「授權」 3. 你簽署了一筆交易 4. 這筆交易授權詐騙者花費你的代幣 5. 詐騙者轉走你的資產 **簽名陷阱** 某些簽名看起來無害,但實際上: * 授權無限代幣支出 * 轉移 NFT * 執行其他惡意操作 **如何保護** * 仔細閱讀你簽署的內容 * 使用錢包的「模擬」功能(如果有) * 不確定就不要簽 ### Email 釣魚 **常見主題** * 「您的帳戶被鎖定」 * 「檢測到異常登入」 * 「您有待領取的獎勵」 * 「請更新您的安全設置」 **識別方法** 1. **檢查寄件者** * 真:`noreply@binance.com` * 假:`noreply@binance-security.com` 2. **懸停連結** * 把滑鼠移到連結上(不要點) * 看實際網址是什麼 3. **語法錯誤** * 假 Email 常有語法或拼寫錯誤 4. **緊急語氣** * 詐騙常製造緊迫感 * 「立即行動,否則帳戶將被關閉」 ### 社群媒體釣魚 **Twitter/X** * 假冒官方帳號 * 在真帳號下留言釣魚連結 * 假的空投公告 **Discord** * 假的官方伺服器 * 私訊詐騙 * 假的 mod / admin **Telegram** * 假的官方群組 * 私訊「客服」 * 釣魚機器人 ### 保護措施 **1. 使用書籤** 把所有常用的: * 交易所 * 錢包 * DeFi 協議 加入書籤,永遠從書籤進入。 **2. 啟用 2FA** * 使用 Google Authenticator 或類似 APP * 不要用 SMS 2FA(可被 SIM swap) * 即使密碼被盜,沒有 2FA 無法登入 **3. 使用硬體錢包** * 每次簽名都需要實體確認 * 可以在設備上看到簽署內容 * 多一層保護 **4. 分離錢包** * 「熱錢包」:用於日常互動,只放少量 * 「冷錢包」:存放主要資產,很少連接網站 **5. 檢查授權** 定期檢查並撤銷不需要的代幣授權: * revoke.cash * etherscan.io/tokenapprovalchecker **6. 保持懷疑** * 太好的事情通常是假的 * 不尋常的請求要警惕 * 不確定就不要行動 ### 如果已經點擊 **如果輸入了交易所帳密** 1. 立即修改密碼 2. 啟用或更換 2FA 3. 檢查是否有異常交易 4. 聯繫官方客服 **如果輸入了助記詞** 1. 立即將資產轉移到新錢包 2. 那個助記詞永遠不要再用 3. 時間緊迫,分秒必爭 **如果簽署了可疑交易** 1. 立即檢查授權 2. 撤銷可疑的授權 3. 將資產轉移到新錢包(如果還在) ### 真實案例 **Uniswap 釣魚(2022)** * 假的 Uniswap 空投網站 * 誘騙用戶授權代幣 * 損失數百萬美元 **BAYC Discord 被駭** * 官方 Discord 被駭客控制 * 發布釣魚連結 * 大量 NFT 被盜 **Google 廣告詐騙** * 搜尋 DeFi 協議名稱 * 第一個結果是假網站 * 持續發生 {% hint style="info" %} 記住:**你的助記詞就是你的資產**。沒有任何正規服務會要求你輸入助記詞。如果有人要求,100% 是詐騙。 {% endhint %} *** #### 參考資料 * [MetaMask: How to stay safe in web3](https://metamask.io/news/security/how-to-stay-safe-in-web3/) * [Chainabuse](https://www.chainabuse.com/) - 檢舉和查詢詐騙地址 * [Revoke.cash](https://revoke.cash/) - 檢查和撤銷授權 *** #### 相關條目 * [假錢包 APP](/ren-shi-feng-xian-bao-hu-zi-chan/scams/fake-wallet.md) * [空投詐騙](/ren-shi-feng-xian-bao-hu-zi-chan/scams/airdrop-scam.md) #### 參考資料 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://www.0x1.academy/ren-shi-feng-xian-bao-hu-zi-chan/scams/phishing.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.