釣魚網站

你收到一封 Email,看起來是 Coinbase 發的。

最後更新:2026 年 1 月

釣魚網站是加密詐騙的主要手法,詐騙者創建假冒的交易所、錢包或 DeFi 網站,誘騙用戶輸入私鑰或授權惡意交易。

你收到一封 Email,看起來是 Coinbase 發的。

「您的帳戶有異常活動,請立即驗證。」

你點擊連結,登入頁面看起來完全正常。

你輸入了帳號密碼...

然後你的帳戶被盜了。

這就是釣魚攻擊

什麼是釣魚?

釣魚(Phishing)是一種社交工程攻擊:

  1. 詐騙者偽裝成可信任的實體

  2. 誘騙受害者提供敏感資訊

  3. 利用這些資訊盜取資產

在加密世界,「敏感資訊」包括:

  • 交易所帳號密碼

  • 錢包助記詞 / 私鑰

  • 簽名授權

常見的釣魚手法

1. 假冒交易所網站

詐騙者創建假的:

  • Binance

  • Coinbase

  • OKX

  • 其他交易所

網址可能是:

  • binance-secure.com(真的是 binance.com)

  • coinbase-verification.com

  • okx-login.net

2. 假冒錢包連接頁面

假裝是 DeFi 協議的錢包連接:

  • 「連接你的錢包以領取空投」

  • 「同步你的錢包以修復錯誤」

實際上是要你:

  • 輸入助記詞(絕對不要!)

  • 簽署惡意交易

3. 假冒 NFT 平台

  • 假的 OpenSea

  • 假的 Magic Eden

  • 誘騙你連接錢包並授權

4. Google 廣告釣魚

詐騙者購買 Google 廣告:

  • 搜尋「Uniswap」

  • 第一個結果可能是假網站

  • 看起來像官方

5. 社群媒體連結

  • Twitter/X 上的假帳號

  • Discord 私訊

  • Telegram 群組

識別釣魚網站

1. 檢查網址

正確:https://www.binance.com 錯誤:

  • https://www.binance-secure.com

  • https://binance.com.verify.site

  • https://binnance.com(多一個 n)

注意

  • 檢查域名,不只是開頭

  • 注意細微的拼寫差異

  • 假網站可能有 HTTPS(鎖頭圖示),這不代表安全

2. 檢查 SSL 憑證

  • 點擊瀏覽器的鎖頭圖示

  • 查看憑證頒發給誰

  • 假網站的憑證資訊通常不對

3. 使用書籤

  • 把常用網站加入書籤

  • 從書籤進入,不從搜尋或連結

4. 驗證社群帳號

  • Twitter 官方帳號有驗證標記

  • Discord 官方伺服器有驗證

  • 不要相信私訊的「官方人員」

5. 不尋常的請求

正規網站不會要求:

  • 輸入助記詞

  • 「同步」或「驗證」錢包

  • 透過連結重設密碼(而非你主動要求)

惡意簽名

更隱蔽的釣魚不是偷你的助記詞,而是讓你簽署惡意交易

授權攻擊

  1. 你連接錢包到假 DeFi 網站

  2. 網站要求你「授權」

  3. 你簽署了一筆交易

  4. 這筆交易授權詐騙者花費你的代幣

  5. 詐騙者轉走你的資產

簽名陷阱

某些簽名看起來無害,但實際上:

  • 授權無限代幣支出

  • 轉移 NFT

  • 執行其他惡意操作

如何保護

  • 仔細閱讀你簽署的內容

  • 使用錢包的「模擬」功能(如果有)

  • 不確定就不要簽

Email 釣魚

常見主題

  • 「您的帳戶被鎖定」

  • 「檢測到異常登入」

  • 「您有待領取的獎勵」

  • 「請更新您的安全設置」

識別方法

  1. 檢查寄件者

  2. 懸停連結

    • 把滑鼠移到連結上(不要點)

    • 看實際網址是什麼

  3. 語法錯誤

    • 假 Email 常有語法或拼寫錯誤

  4. 緊急語氣

    • 詐騙常製造緊迫感

    • 「立即行動,否則帳戶將被關閉」

社群媒體釣魚

Twitter/X

  • 假冒官方帳號

  • 在真帳號下留言釣魚連結

  • 假的空投公告

Discord

  • 假的官方伺服器

  • 私訊詐騙

  • 假的 mod / admin

Telegram

  • 假的官方群組

  • 私訊「客服」

  • 釣魚機器人

保護措施

1. 使用書籤

把所有常用的:

  • 交易所

  • 錢包

  • DeFi 協議 加入書籤,永遠從書籤進入。

2. 啟用 2FA

  • 使用 Google Authenticator 或類似 APP

  • 不要用 SMS 2FA(可被 SIM swap)

  • 即使密碼被盜,沒有 2FA 無法登入

3. 使用硬體錢包

  • 每次簽名都需要實體確認

  • 可以在設備上看到簽署內容

  • 多一層保護

4. 分離錢包

  • 「熱錢包」:用於日常互動,只放少量

  • 「冷錢包」:存放主要資產,很少連接網站

5. 檢查授權

定期檢查並撤銷不需要的代幣授權:

  • revoke.cash

  • etherscan.io/tokenapprovalchecker

6. 保持懷疑

  • 太好的事情通常是假的

  • 不尋常的請求要警惕

  • 不確定就不要行動

如果已經點擊

如果輸入了交易所帳密

  1. 立即修改密碼

  2. 啟用或更換 2FA

  3. 檢查是否有異常交易

  4. 聯繫官方客服

如果輸入了助記詞

  1. 立即將資產轉移到新錢包

  2. 那個助記詞永遠不要再用

  3. 時間緊迫,分秒必爭

如果簽署了可疑交易

  1. 立即檢查授權

  2. 撤銷可疑的授權

  3. 將資產轉移到新錢包(如果還在)

真實案例

Uniswap 釣魚(2022)

  • 假的 Uniswap 空投網站

  • 誘騙用戶授權代幣

  • 損失數百萬美元

BAYC Discord 被駭

  • 官方 Discord 被駭客控制

  • 發布釣魚連結

  • 大量 NFT 被盜

Google 廣告詐騙

  • 搜尋 DeFi 協議名稱

  • 第一個結果是假網站

  • 持續發生

記住:你的助記詞就是你的資產。沒有任何正規服務會要求你輸入助記詞。如果有人要求,100% 是詐騙。

參考資料

相關條目

參考資料

Previous假錢包 APPNext空投詐騙

Last updated