如何避免针对 Exchange 用户的常见网络钓鱼诈骗？ （安全检查表）

识别可疑电子邮件模式

1. 合法的加密货币交易所从不要求用户通过电子邮件链接验证帐户详细信息。

2. 网络钓鱼电子邮件通常模仿官方品牌，但包含细微的不一致之处——拼写错误的域名，例如“binnance.com”而不是“binance.com”。

3. 将鼠标悬停在嵌入链接上会显示真实的目标 URL，该 URL 通常指向不安全或不相关的域。

4. 诸如“您的帐户将在 2 小时内被暂停”之类的紧急语言是一个危险信号，旨在绕过理性审查。

5. 官方支持团队不会通过电子邮件或短信主动联系索要密码、API 密钥或 2FA 代码。

登录前验证网站真实性

1. 始终直接在浏览器中输入交易所的官方 URL，而不是单击消息或搜索结果中的链接。

2. 检查 HTTPS 和有效的 SSL 证书 - 单击地址栏旁边的挂锁图标以检查其有效性和颁发机构。

3. 在首次安全访问期间确认正确的登录页面的真实性后，将其添加为书签。

4. 警惕带有额外子域名或异常字符的 URL，例如，“login.binance-security.net”不隶属于 Binance。

5. 一些钓鱼网站复制双因素身份验证提示以获取 TOTP 令牌；真正的平台绝不会在会话中要求重复的 2FA 条目。

保护您的 API 密钥和提款设置

1. 切勿在公共或共享设备上生成 API 密钥，并始终限制权限 - 除非绝对必要，否则禁用提款访问。

2. 为 API 密钥启用 IP 白名单，以便它们仅在已知、可信的网络地址上运行。

3. 定期在交易所仪表板中查看活动的 API 密钥，并立即撤销任何无法识别或过时的密钥。

4. 避免将 API 凭据存储在纯文本文件、云笔记或浏览器自动填充字段中。

5. 设置提现地址白名单，并要求手动确认新地址——即使启用了 2FA。

启用多层身份验证协议

1. 使用硬件安全密钥（例如 YubiKey）而不是基于 SMS 的 2FA，后者容易受到 SIM 交换攻击。

2. 在专用移动设备上安装 Google Authenticator 或 Authy 等身份验证器应用程序，而不是用于浏览可疑网站的设备。

3. 启用某些交易所提供的反网络钓鱼代码，这些代码在登录时显示唯一的短语以确认网站的合法性。

4. 如果有更强大的替代方案，请禁用未使用的身份验证方法，例如基于电子邮件的恢复。

5. 将备份代码离线存储在物理安全或加密的离线存储中，而不是电子邮件或云驱动器中。

常见问题解答

问：如果我只使用我的 Exchange 帐户登录，钓鱼网站会窃取我的私钥吗？答：否——交易所不存储用户钱包的私钥。但是，如果 API 密钥或会话 cookie 遭到破坏，攻击者可能会从您的交易余额中耗尽资金或劫持链接的钱包连接。

问：使用从第三方应用商店下载的 Exchange 移动应用安全吗？答：没有。仅安装来自经过验证的来源的官方应用程序 - Apple App Store、Google Play 或交易所直接发布的下载页面。第三方版本可能包含隐藏的恶意软件。

问：如果我不小心在虚假登录页面上输入了我的凭据，该怎么办？答：立即更改您的密码，撤销所有活动会话，禁用并重新生成 API 密钥，并扫描您的设备中是否有键盘记录程序或窃取凭据的恶意软件。

问：硬件钱包是否可以保护我免受与交易所相关的网络钓鱼？答：硬件钱包可以在本地保护私钥，但不能阻止通过受损的交易账户发起的未经授权的提款。保护取决于交换接口本身的安全。