币安防钓鱼码 (Anti-Phishing Code) 是一串 4–8 位自定义字符,配置后币安发给你的每封官方邮件、系统短信、APP 通知都会带这串码。攻击者不知道这串码,所以他们伪造的钓鱼邮件一定不带或带错误的值,你看一眼就能识破。这是目前对抗邮件钓鱼性价比最高的一步,耗时不到 3 分钟。请先登录 币安官网 或安装 币安官方APP。本文从命名规则、设置步骤、邮件识别技巧、邮件头分析、更新频率到被仿冒钓鱼后的处置 7 个环节完整拆解。
一、防钓鱼码的工作原理
防钓鱼码 vs 其他识别方式
| 识别方式 | 原理 | 攻击者伪造成本 | 推荐 |
|---|---|---|---|
| 防钓鱼码 | 个性化字符串,邮件中显示 | 极高(需先攻击币安数据库) | 强烈推荐 |
| 官方域名识别 | 只认 *.binance.com |
中(钓鱼者用 binance-login.com 混淆) | 配合使用 |
| SPF/DKIM/DMARC | 邮件服务器签名校验 | 中(大多数邮箱自动校验) | 自动生效 |
| 客户端显示"认证发件人" | Gmail 显示盾牌图标 | 中 | 辅助参考 |
| 二次渠道核实 | APP 内同步通知 | 极高 | 高风险操作首选 |
防钓鱼码的关键是 每个人的码都不同,相当于给每个用户生成一次性的"身份印章"。
正常邮件的样子
启用后,币安发的提币验证邮件正文末尾会出现:
Anti-Phishing Code: Sky7Whale-FV
This is your unique code. Binance emails will always include it.
If an email claims to be from Binance but has a different or missing code, DO NOT CLICK.
钓鱼邮件最多写一个看起来像的占位符(如 AntiPhishing: 8888),或压根不写。
二、设置步骤详解
网页端设置
- 登录 binance.com → 右上角头像 → 安全中心
- 往下滑到 账号安全 模块 → 找到 防钓鱼码 Anti-Phishing Code 一栏
- 点击 启用 / 修改
- 弹窗输入想用的字符串(4–8 位,只接受英文字母 + 数字,无空格)
- 系统会要求完成:
- 账号密码
- Google Authenticator 动态码
- 邮箱验证码
- 全部通过后防钓鱼码立即生效
APP 端设置
打开 币安官方APP → 左上角头像 → 安全 → 防钓鱼码 → 流程与网页端一致,通常 60 秒内完成。
字符规则与命名建议
| 类型 | 示例 | 评价 |
|---|---|---|
| 过于简单 | 123456、abcdef |
攻击者随机猜中概率非 0 |
| 个人信息 | 生日、姓名拼音 | 社工攻击可直接补齐 |
| 常见品牌词 | Binance、Crypto |
钓鱼者可能恰巧用同样字符串 |
| 推荐组合 | Sky7Whale、FVLock2026、Aq9Kz-Mint |
混合大小写+数字+少量符号 |
核心原则:独一无二、不与他人共享、不与其他平台复用。
三、识别真伪邮件的完整流程
收到一封声称来自币安的邮件时,按以下 5 步验证:
1. 查防钓鱼码
正文最末或最开头找 Anti-Phishing Code,对照你设置的值。少一位、大小写不同、错一个字母 都算伪造。
2. 看发件人域名
官方邮件域名是 @binance.com、@post.binance.com、@ses.binance.com。常见伪造:
@binancee.com(多一个 e)@binance-team.com@bonance.com(o 换成 b)@bi-nance.com
3. 检查邮件头(进阶)
Gmail 点右上角三点 → 显示原始邮件,找:
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of [email protected] designates 54.240.67.12 as permitted sender)
dkim=pass [email protected]
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=binance.com
三项全部 pass 才是真币安邮件;其中任一 fail/none,立即标记为垃圾。
4. 悬停看链接真实 URL
邮件里所有"点此验证""点此查看"按钮,鼠标悬停 看左下角状态栏显示的真实 URL 是否 accounts.binance.com/*。任何跳到第三方域名的链接一律不点。
5. 侧通道核实
重要操作(大额提币、修改邮箱)直接去币安 APP 内的 消息中心 核实对应通知是否存在。APP 内消息无法伪造,邮件可以。
四、邮件头取证案例
以下是真实防钓鱼邮件的头部片段(已脱敏):
From: "Binance" <[email protected]>
Subject: [Binance] Withdrawal Confirmation - Anti-Phishing Code: Sky7Whale-FV
Date: Tue, 14 Apr 2026 09:32:15 +0000
Message-ID: <[email protected]>
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=binance.com;
s=ses-2024; t=1744623135; [email protected];
bh=xxxx/XXXXXXXX=; h=From:Subject:Date:To:MIME-Version:Content-Type;
b=XXXXXXXX
关键点:d=binance.com + DKIM 签名 b= 字段完整,且 IP 归属 Amazon SES(币安 SMTP 服务商)。
五、修改频率与轮换策略
| 场景 | 建议轮换周期 |
|---|---|
| 日常使用 | 不需要主动更换 |
| 怀疑邮件被泄露(截图、转发过) | 立即更换 |
| 更换邮箱地址 | 同步更换 |
| 加入币安风控申诉/客服工单 | 工单关闭后更换 |
每次更换都需要 2FA + 邮箱验证码,防止他人未授权修改。
六、被仿冒钓鱼后的处置
一旦你不小心点了钓鱼链接甚至输入了密码:
- 立刻登录币安(用书签或手动输入 binance.com),修改密码
- 强制所有设备下线 → 安全中心 → 设备管理 → 全部下线
- 检查 API 密钥 → 删除所有不熟悉的 API
- 重新生成 2FA(在原 2FA 还可用的期间)
- 修改防钓鱼码:既然邮件可能被钓鱼者看到,也要换新码
- 举报钓鱼域名:转发原邮件到
[email protected],附上 URL 与时间戳
七、常见反模式
- 误区一:防钓鱼码越短越好记。错。至少 6 位混合字符才有效。
- 误区二:防钓鱼码和密码用同一串。错。两者作用不同,共享等于增加一个泄露点。
- 误区三:只在网页端设置,APP 不显示。币安 APP 也会在推送中显示防钓鱼码,若没看到请升级到最新版。
- 误区四:看到防钓鱼码就 100% 是真邮件。不。还要看域名+链接+DKIM,任一不对都视为伪造。
常见问题 FAQ
Q1: 防钓鱼码的字符长度有限制吗?
A: 有。币安要求 4–8 位字符,仅允许大小写英文字母和阿拉伯数字,不允许空格、中文与符号。推荐 8 位混合大小写。
Q2: 如果我忘了自己设置的防钓鱼码怎么查?
A: 登录 binance.com → 安全中心 → 防钓鱼码 → 点击 "查看当前码" → 完成 2FA 验证后可查看。忘了也不影响收邮件,只是你暂时分不清真伪,先登录查看即可。
Q3: 短信和 APP 推送通知里也有防钓鱼码吗?
A: 是的。币安官方短信(如 +852 开头)和 APP 推送都会携带防钓鱼码。如果收到短信没有码或码错误,立即忽略。
Q4: 子账号和主账号的防钓鱼码一样吗?
A: 不一样。每个子账号单独设置各自的防钓鱼码,互不影响,管理更清晰。
Q5: 启用防钓鱼码后还需要警惕哪些?
A: 需要。防钓鱼码防不了假官网钓鱼(看到假域名就输密码)、假客服加微信等场景。配套做到:① 只从书签进入 binance.com;② 官方客服只在站内工单;③ 高额操作走硬件钱包+白名单。
继续配套阅读:回到 分类导航 进入「安全加固」分类查看 2FA、提币白名单等配套教程。