幣安防釣魚碼 (Anti-Phishing Code) 是一串 4–8 位自定義字元,配置後幣安發給你的每封官方郵件、系統簡訊、APP 通知都會帶這串碼。攻擊者不知道這串碼,所以他們偽造的釣魚郵件一定不帶或帶錯誤的值,你看一眼就能識破。這是目前對抗郵件釣魚價效比最高的一步,耗時不到 3 分鐘。請先登入 幣安官網 或安裝 幣安官方APP。本文從命名規則、設定步驟、郵件識別技巧、郵件頭分析、更新頻率到被仿冒釣魚後的處置 7 個環節完整拆解。
一、防釣魚碼的工作原理
防釣魚碼 vs 其他識別方式
| 識別方式 | 原理 | 攻擊者偽造成本 | 推薦 |
|---|---|---|---|
| 防釣魚碼 | 個性化字串,郵件中顯示 | 極高(需先攻擊幣安資料庫) | 強烈推薦 |
| 官方域名識別 | 只認 *.binance.com |
中(釣魚者用 binance-login.com 混淆) | 配合使用 |
| SPF/DKIM/DMARC | 郵件伺服器簽名校驗 | 中(大多數郵箱自動校驗) | 自動生效 |
| 客戶端顯示"認證發件人" | Gmail 顯示盾牌圖示 | 中 | 輔助參考 |
| 二次渠道核實 | APP 內同步通知 | 極高 | 高風險操作首選 |
防釣魚碼的關鍵是 每個人的碼都不同,相當於給每個使用者生成一次性的"身份印章"。
正常郵件的樣子
啟用後,幣安發的提幣驗證郵件正文末尾會出現:
Anti-Phishing Code: Sky7Whale-FV
This is your unique code. Binance emails will always include it.
If an email claims to be from Binance but has a different or missing code, DO NOT CLICK.
釣魚郵件最多寫一個看起來像的佔位符(如 AntiPhishing: 8888),或壓根不寫。
二、設定步驟詳解
網頁端設定
- 登入 binance.com → 右上角頭像 → 安全中心
- 往下滑到 賬號安全 模組 → 找到 防釣魚碼 Anti-Phishing Code 一欄
- 點選 啟用 / 修改
- 彈窗輸入想用的字串(4–8 位,只接受英文字母 + 數字,無空格)
- 系統會要求完成:
- 賬號密碼
- Google Authenticator 動態碼
- 郵箱驗證碼
- 全部透過後防釣魚碼立即生效
APP 端設定
開啟 幣安官方APP → 左上角頭像 → 安全 → 防釣魚碼 → 流程與網頁端一致,通常 60 秒內完成。
字元規則與命名建議
| 型別 | 示例 | 評價 |
|---|---|---|
| 過於簡單 | 123456、abcdef |
攻擊者隨機猜中機率非 0 |
| 個人資訊 | 生日、姓名拼音 | 社工攻擊可直接補齊 |
| 常見品牌詞 | Binance、Crypto |
釣魚者可能恰巧用同樣字串 |
| 推薦組合 | Sky7Whale、FVLock2026、Aq9Kz-Mint |
混合大小寫+數字+少量符號 |
核心原則:獨一無二、不與他人共享、不與其他平臺複用。
三、識別真偽郵件的完整流程
收到一封聲稱來自幣安的郵件時,按以下 5 步驗證:
1. 查防釣魚碼
正文最末或最開頭找 Anti-Phishing Code,對照你設定的值。少一位、大小寫不同、錯一個字母 都算偽造。
2. 看發件人域名
官方郵件域名是 @binance.com、@post.binance.com、@ses.binance.com。常見偽造:
@binancee.com(多一個 e)@binance-team.com@bonance.com(o 換成 b)@bi-nance.com
3. 檢查郵件頭(進階)
Gmail 點右上角三點 → 顯示原始郵件,找:
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of [email protected] designates 54.240.67.12 as permitted sender)
dkim=pass [email protected]
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=binance.com
三項全部 pass 才是真幣安郵件;其中任一 fail/none,立即標記為垃圾。
4. 懸停看連結真實 URL
郵件裡所有"點此驗證""點此檢視"按鈕,滑鼠懸停 看左下角狀態列顯示的真實 URL 是否 accounts.binance.com/*。任何跳到第三方域名的連結一律不點。
5. 側通道核實
重要操作(大額提幣、修改郵箱)直接去幣安 APP 內的 訊息中心 核實對應通知是否存在。APP 內訊息無法偽造,郵件可以。
四、郵件頭取證案例
以下是真實防釣魚郵件的頭部片段(已脫敏):
From: "Binance" <[email protected]>
Subject: [Binance] Withdrawal Confirmation - Anti-Phishing Code: Sky7Whale-FV
Date: Tue, 14 Apr 2026 09:32:15 +0000
Message-ID: <[email protected]>
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=binance.com;
s=ses-2024; t=1744623135; [email protected];
bh=xxxx/XXXXXXXX=; h=From:Subject:Date:To:MIME-Version:Content-Type;
b=XXXXXXXX
關鍵點:d=binance.com + DKIM 簽名 b= 欄位完整,且 IP 歸屬 Amazon SES(幣安 SMTP 服務商)。
五、修改頻率與輪換策略
| 場景 | 建議輪換週期 |
|---|---|
| 日常使用 | 不需要主動更換 |
| 懷疑郵件被洩露(截圖、轉發過) | 立即更換 |
| 更換郵箱地址 | 同步更換 |
| 加入幣安風控申訴/客服工單 | 工單關閉後更換 |
每次更換都需要 2FA + 郵箱驗證碼,防止他人未授權修改。
六、被仿冒釣魚後的處置
一旦你不小心點了釣魚連結甚至輸入了密碼:
- 立刻登入幣安(用書籤或手動輸入 binance.com),修改密碼
- 強制所有裝置下線 → 安全中心 → 裝置管理 → 全部下線
- 檢查 API 金鑰 → 刪除所有不熟悉的 API
- 重新生成 2FA(在原 2FA 還可用的期間)
- 修改防釣魚碼:既然郵件可能被釣魚者看到,也要換新碼
- 舉報釣魚域名:轉發原郵件到
[email protected],附上 URL 與時間戳
七、常見反模式
- 誤區一:防釣魚碼越短越好記。錯。至少 6 位混合字元才有效。
- 誤區二:防釣魚碼和密碼用同一串。錯。兩者作用不同,共享等於增加一個洩露點。
- 誤區三:只在網頁端設定,APP 不顯示。幣安 APP 也會在推送中顯示防釣魚碼,若沒看到請升級到最新版。
- 誤區四:看到防釣魚碼就 100% 是真郵件。不。還要看域名+連結+DKIM,任一不對都視為偽造。
常見問題 FAQ
Q1: 防釣魚碼的字元長度有限制嗎?
A: 有。幣安要求 4–8 位字元,僅允許大小寫英文字母和阿拉伯數字,不允許空格、中文與符號。推薦 8 位混合大小寫。
Q2: 如果我忘了自己設定的防釣魚碼怎麼查?
A: 登入 binance.com → 安全中心 → 防釣魚碼 → 點選 "檢視當前碼" → 完成 2FA 驗證後可檢視。忘了也不影響收郵件,只是你暫時分不清真偽,先登入檢視即可。
Q3: 簡訊和 APP 推送通知裡也有防釣魚碼嗎?
A: 是的。幣安官方簡訊(如 +852 開頭)和 APP 推送都會攜帶防釣魚碼。如果收到簡訊沒有碼或碼錯誤,立即忽略。
Q4: 子賬號和主賬號的防釣魚碼一樣嗎?
A: 不一樣。每個子賬號單獨設定各自的防釣魚碼,互不影響,管理更清晰。
Q5: 啟用防釣魚碼後還需要警惕哪些?
A: 需要。防釣魚碼防不了假官網釣魚(看到假域名就輸密碼)、假客服加微信等場景。配套做到:① 只從書籤進入 binance.com;② 官方客服只在站內工單;③ 高額操作走硬體錢包+白名單。
繼續配套閱讀:回到 分類導航 進入「安全加固」分類檢視 2FA、提幣白名單等配套教程。