如何避免針對 Exchange 用戶的常見網絡釣魚詐騙？ （安全檢查表）

識別可疑電子郵件模式

1. 合法的加密貨幣交易所從不要求用戶通過電子郵件鏈接驗證帳戶詳細信息。

2. 網絡釣魚電子郵件通常模仿官方品牌，但包含細微的不一致之處——拼寫錯誤的域名，例如“binnance.com”而不是“binance.com”。

3. 將鼠標懸停在嵌入鏈接上會顯示真實的目標 URL，該 URL 通常指向不安全或不相關的域。

4. 諸如“您的帳戶將在 2 小時內被暫停”之類的緊急語言是一個危險信號，旨在繞過理性審查。

5. 官方支持團隊不會通過電子郵件或短信主動聯繫索要密碼、API 密鑰或 2FA 代碼。

登錄前驗證網站真實性

1. 始終直接在瀏覽器中輸入交易所的官方 URL，而不是單擊消息或搜索結果中的鏈接。

2. 檢查 HTTPS 和有效的 SSL 證書 - 單擊地址欄旁邊的掛鎖圖標以檢查其有效性和頒發機構。

3. 在首次安全訪問期間確認正確的登錄頁面的真實性後，將其添加為書籤。

4. 警惕帶有額外子域名或異常字符的 URL，例如，“login.binance-security.net”不隸屬於 Binance。

5. 一些釣魚網站複製雙因素身份驗證提示以獲取 TOTP 令牌；真正的平台絕不會在會話中要求重複的 2FA 條目。

保護您的 API 密鑰和提款設置

1. 切勿在公共或共享設備上生成 API 密鑰，並始終限制權限 - 除非絕對必要，否則禁用提款訪問。

2. 為 API 密鑰啟用 IP 白名單，以便它們僅在已知、可信的網絡地址上運行。

3. 定期在交易所儀表板中查看活動的 API 密鑰，並立即撤銷任何無法識別或過時的密鑰。

4. 避免將 API 憑據存儲在純文本文件、雲筆記或瀏覽器自動填充字段中。

5. 設置提現地址白名單，並要求手動確認新地址——即使啟用了 2FA。

啟用多層身份驗證協議

1. 使用硬件安全密鑰（例如 YubiKey）而不是基於 SMS 的 2FA，後者容易受到 SIM 交換攻擊。

2. 在專用移動設備上安裝 Google Authenticator 或 Authy 等身份驗證器應用程序，而不是用於瀏覽可疑網站的設備。

3. 啟用某些交易所提供的反網絡釣魚代碼，這些代碼在登錄時顯示唯一的短語以確認網站的合法性。

4. 如果有更強大的替代方案，請禁用未使用的身份驗證方法，例如基於電子郵件的恢復。

5. 將備份代碼離線存儲在物理安全或加密的離線存儲中，而不是電子郵件或云驅動器中。

常見問題解答

問：如果我只使用我的 Exchange 帳戶登錄，釣魚網站會竊取我的私鑰嗎？答：否——交易所不存儲用戶錢包的私鑰。但是，如果 API 密鑰或會話 cookie 遭到破壞，攻擊者可能會從您的交易餘額中耗盡資金或劫持鏈接的錢包連接。

問：使用從第三方應用商店下載的 Exchange 移動應用安全嗎？答：沒有。僅安裝來自經過驗證的來源的官方應用程序 - Apple App Store、Google Play 或交易所直接發布的下載頁面。第三方版本可能包含隱藏的惡意軟件。

問：如果我不小心在虛假登錄頁面上輸入了我的憑據，該怎麼辦？答：立即更改您的密碼，撤銷所有活動會話，禁用並重新生成 API 密鑰，並掃描您的設備中是否有鍵盤記錄程序或竊取憑據的惡意軟件。

問：硬件錢包是否可以保護我免受與交易所相關的網絡釣魚？答：硬件錢包可以在本地保護私鑰，但不能防止通過受損的交易賬戶發起的未經授權的提款。保護取決於交換接口本身的安全。