幣探
在百度或 Google 搜「幣安官網」時,出現的結果裡往往混雜著競價廣告、媒體文章、第三方資訊、以及一批仿冒釣魚站。真正的官方入口只有 binance.com,其他都要小心辨別。最穩妥的辦法是記住從幣安官網直接訪問,或者下載幣安官方APP從 APP 內進入,蘋果使用者可以看iOS安裝教學完成安裝。下面把搜尋結果裡的各類坑點講清楚。
搜尋引擎結果的四種類型
搜一次「幣安官網」,頁面上大致會看到四類連結,分別是:付費廣告位、自然排名的官方連結、媒體和資訊文章、偽裝成官方的釣魚站。
付費廣告位(Sponsored)
Google 搜尋結果頁最頂部通常是 4 條 Sponsored 廣告,百度搜尋結果前 1-3 條帶「廣告」標記的也是競價位。這些位置不是按品質排名,而是按出價拿到的。不法分子會花錢買「幣安」關鍵詞,把自己的仿冒站掛在第一條。直接點廣告位風險最高。
自然排名
廣告位以下是自然排名結果,通常真正的 binance.com 會出現在這裡。但自然排名也不是 100% 安全,因為有些仿站透過 SEO 手段短期內也能獲得較高排名。
媒體和資訊文章
CoinDesk、金色財經、Cointelegraph 這類行業媒體會大量報導幣安,它們的文章也會出現在搜尋結果裡。這些內容本身可信,但不是幣安官網。點進去是媒體的文章頁,不是交易平台。
仿冒釣魚站
這是最危險的一類。它們可能出現在廣告位、也可能混進自然結果。視覺上可以做得跟幣安一模一樣,讓你在上面輸入帳號密碼然後盜走。
仿冒網域常見手法
識別真假要從網域入手,因為頁面可以複製,網域卻獨一無二。常見的仿冒手法有下面幾種。
字母替換
替換相似字母是最古老的手法,例如:
- binancе.com(其中的 е 是西里爾字母,不是英文 e)
- biinance.com(多一個 i)
- binanse.com(n 換成 s 後又加一個 n)
這些網域肉眼很難分辨,尤其是西里爾字母版,字形幾乎一致。
Punycode 網域
這是更進階的手法,利用國際化網域(IDN)把非 ASCII 字元編碼成 xn-- 開頭的字串。瀏覽器會把 xn--binance-xxx.com 渲染成看似正常的「binance.com」,但實際上是完全不同的網域。辨別方法是看瀏覽器網址列的實際字串,而不是渲染效果。現代瀏覽器(Chrome、Firefox 最新版)對可疑 Punycode 網域會自動顯示為 xn-- 形式,不會渲染,但舊瀏覽器不一定有這個保護。
前後綴偽造
在 binance 前後加修飾詞,例如:
- login-binance.com
- binance-login.com
- www-binance.com(注意是橫槓不是點)
- secure-binance.com
- binance-official.com
這些網域的主網域根本不是 binance.com,前面的 binance 只是一個二級網域或子字串。
後綴替換
把 .com 換成其他後綴:
- binance.net
- binance.org
- binance.cc
- binance.top
- binance.xyz
其中 .info、.bz 是幣安官方持有的,其他大多不是。只記主網域 binance.com 最不容易出錯。
真假網域辨識對照
| 網域 | 是否官方 | 備註 |
|---|---|---|
| binance.com | 是 | 主網域 |
| www.binance.com | 是 | 主網域的 www 子網域 |
| binance.info | 是 | 官方資訊 |
| binance.us | 是 | 美國公司獨立營運 |
| biinance.com | 否 | 多字母仿冒 |
| binance-login.com | 否 | 前綴偽造 |
| binance.top | 否 | 後綴替換 |
| xn--binance-*.com | 否 | Punycode 攻擊 |
表裡只列了少數例子,實際上釣魚網域每天都在誕生,記不完。記住 binance.com 這一條紅線就夠了。
一套安全搜尋的流程
與其事後識別,不如事前規避。下面這套流程可以把搜尋環節的風險降到最低。
第一次:手動輸入
第一次訪問幣安時不要用搜尋引擎,直接在瀏覽器網址列鍵入 binance.com。這是唯一 100% 不會被騙的方式。
第二次起:用書籤
第一次訪問核對無誤後,立即收藏。以後從書籤點進,不要再搜尋。
進階方案:開啟瀏覽器的 HTTPS-Only 模式
Chrome、Firefox、Edge 都有 HTTPS-Only 選項。開啟後,訪問任何 HTTP 協定的網址瀏覽器都會提示你,大大降低誤點風險。
進階方案:安裝反釣魚擴充功能
像 MetaMask 和一些密碼管理器都有反釣魚功能,能在你登入時檢測網域是否在白名單。搭配使用可以多一道防線。
如果已經在假站輸入了密碼怎麼辦
萬一不幸在釣魚站輸了帳號,行動速度決定損失。
立即改密碼
從真 binance.com 登入,進入安全設定,立刻更改登入密碼。改密碼後所有裝置的會話會被強制退出,再重新登入一次。
開啟 2FA
如果之前沒開二次驗證,現在立刻開。光改密碼不夠,因為攻擊者可能已經記下了你的新密碼。2FA 能讓攻擊者即使有密碼也登不進去。
檢查 API Key
進入 API 管理,看有沒有陌生的 API Key。如果有,立刻刪除。API Key 被盜可以讓攻擊者用程式快速提走你的資產。
檢查提領白名單
檢視提領白名單裡有沒有陌生的地址。如果有,立即刪除並關閉無白名單提領功能。
聯絡客服
開啟幣安 APP 或網頁的線上客服,說明情況。客服會指導你做進一步的帳戶檢查。
常見問題解答
搜尋引擎的第一條結果一定是真的嗎
不是。第一條往往是廣告位,出價最高者得。即使是自然排名第一,也要核對網域再點。
網域裡多一個點或一個橫槓還算同一個網域嗎
不算。比如 binance.com 和 bin-ance.com 是兩個完全不同的網域。任何改動都可能是仿冒。
如果我不確定,怎麼快速驗證
開啟 APP,APP 裡的連結都由幣安控制。對著 APP 裡的入口檢查你在瀏覽器看到的網域是否一致。
HTTPS 鎖頭是不是就代表安全
不完全是。HTTPS 只代表傳輸加密,不代表網站身分真實。仿站也可以申請 HTTPS 憑證,必須看憑證頒發對象。鎖頭 + 正確網域 + 正確憑證持有者三者齊全才算安全。
為什麼幣安不把假站告掉
幣安確實在持續打擊假站,和各大搜尋引擎合作下架釣魚廣告。但假站可以幾小時內換個網域重開,單純靠下架追不過來。最終防線還是使用者自己的警覺性。