凡是在 币安官网 注册过账户的人,都收到过号称「来自币安」的邮件,但其中一部分其实是钓鱼链接,肉眼很难分辨。打开 币安官方APP 设置防钓鱼码之后,所有真邮件都会带上你自己设的那串字符——iPhone 用户参考 iOS 安装教程 装好客户端,5 分钟就能完成设置。
A:进入币安账户后台「安全中心」→「防钓鱼码」,输入一串 8-20 位的英文+数字组合保存,之后所有币安官方邮件的正文或主题里都会显示这串字符。看不到这串字符的邮件就一定是钓鱼。
防钓鱼码到底是什么
A:防钓鱼码(Anti-Phishing Code)是币安给账户主人配的一个"签名印章",写在每封发给你的官方邮件里,用来证明这封邮件确实是从币安服务器发出的。攻击者发的钓鱼邮件因为根本不知道你设了什么码,伪造邮件里要么没有这个字符串、要么是错的。
它的工作原理很朴素:
- 你在账户后台保存一段任意字符串(比如
MyB1nance2026) - 币安服务器把这段字符串和你的账号 ID 绑定
- 之后凡是发给你的邮件——登录提醒、提币确认、API 创建通知、安全告警——都会在邮件正文头部或者标题里显示
Anti-phishing code: MyB1nance2026 - 你看到这串字符匹配,邮件就是真的;不匹配或者没有,就是假的
钓鱼邮件做不到伪造这段码,因为攻击者从外部完全没法知道你设了什么——它存在币安数据库里,只在出站邮件时才会插入。
为什么必须设防钓鱼码
A:因为 2025 年以后针对中文加密货币用户的钓鱼邮件做得越来越像真邮件,光靠「看域名」「看签名」已经不够用。攻击者会克隆币安完整的邮件 HTML 模板,连页脚的法务声明都一字不漏,普通用户肉眼分辨不出。
钓鱼邮件常见的伪装手段
- 发件人显示
noreply@binance.com(实际是伪装的) - 邮件 HTML 完全复制币安官方模板
- 链接文字写
binance.com,鼠标悬停才看到真实指向binance-login.xyz - 紧迫语气:「您的账号有异常登录,请立即点击验证」
- 假冒提币申请:「您发起了 5 BTC 的提币,10 分钟后执行,如非本人请取消」
设了防钓鱼码以后,你不需要看域名、不需要看链接,第一眼扫一下邮件里有没有那串你自己设的字符就完事了。没有 = 假的,扔掉。
第一步:登录账户进入安全设置
A:网页端比 APP 端设置更方便,建议在 PC 上完成。手机 APP 的入口藏得比较深。
PC 端:
- 登录币安账户
- 鼠标移到右上角你的头像/邮箱
- 下拉菜单里选「安全」(Security)
- 滚动到页面中下部,找「防钓鱼码」(Anti-Phishing Code)那一栏
- 点击「启用」或「编辑」
APP 端:
- 打开币安 APP,点左上角头像
- 选「安全」
- 滚到底部找「防钓鱼码」
第二步:设置一个合格的防钓鱼码
A:好的防钓鱼码要满足三个条件——足够长、足够独特、自己一眼能认出。币安要求 4-20 位,但 4 位太容易被猜中或撞库。
推荐的防钓鱼码格式
- 长度:8-20 位
- 字符集:大小写英文 + 数字(不要用纯数字)
- 包含:一个你自己的记忆锚点 + 一些随机字符
- 例子:
Cat$BnB7724、SeaMoon2026Bn、Q3pPpYQ9
避开这些雷区
- 不要用密码——和登录密码字符重叠等于双重风险
- 不要用生日——
19920328太容易被关联 - 不要用姓名拼音全拼——
zhangsan2026没意义 - 不要用纯数字——
12345678太弱 - 不要用通用词——
binance123、password这种被泄露字典收录过 - 不要复制粘贴你别处用的字符串——降低被关联猜出的概率
设置好之后保存,币安会要求你输入 2FA 验证码确认。这串字符不是密码,泄露了不会让你被盗,但泄露了之后就失去了「验证邮件真伪」的作用,所以也不要随便发到聊天里、不要写在公开的笔记里。
第三步:在邮件里找到防钓鱼码
A:保存成功后,币安会立刻给你发一封确认邮件,里面就有你设的码。这封邮件就是测试样本。
打开邮箱,找到币安最新发来的邮件,正文最上方或最下方会有一行类似:
Anti-phishing code: Cat$BnB7724
或者中文版:
防钓鱼码:Cat$BnB7724
不同类型邮件位置略有差异:
- 登录提醒:通常在标题后面或正文第一行
- 提币确认:在正文中部「确认按钮」上方
- 安全告警:在标题里
- 营销邮件:通常没有(这是币安故意的,营销邮件不带码不影响安全)
所有涉及账户操作的邮件——登录、提币、API 创建、密码修改、2FA 重置——都必须带防钓鱼码,没带就是假的。
钓鱼邮件 vs 真邮件对比
A:下面这张表把常见识别点列出来,看一眼就能判断。
| 识别点 | 真邮件 | 钓鱼邮件 |
|---|---|---|
| 防钓鱼码 | 每封都有,准确无误 | 没有,或乱填 |
| 发件人域名 | @binance.com 或 @post.binance.com |
@binance-cn.com、@blnance.com 等仿冒 |
| 链接 hover 后真实地址 | 都是 binance.com 子路径 |
跳到 xx.cc、xx.xyz 等小众域名 |
| 语气 | 客观陈述事实 | 紧迫,催促立即点击 |
| 附件 | 几乎不带附件 | 附带 .zip、.exe、.html 文件 |
| 中文翻译质量 | 流畅 | 经常出现机翻痕迹 |
| 称呼 | 用你的注册昵称 | 「亲爱的用户」「Dear user」 |
| 法务页脚 | 完整带香港/开曼地址 | 缺失或是错的 |
最稳的判断顺序:先看防钓鱼码 → 再看发件人域名 → 再 hover 链接看真实地址。三道关任意一关不通过就直接删除邮件。
防钓鱼码什么时候要更换
A:三种情况下应该立刻换防钓鱼码:怀疑邮箱被入侵过、收到了不该带防钓鱼码的可疑邮件却带了正确的码(极小概率但要警惕)、设了超过 1 年没换过。
推荐的更换节奏
- 每年换 1 次——和密码同步换,养成习惯
- 邮箱密码泄露后——立刻换,因为攻击者可能从邮件历史里看到你的码
- 登录密码泄露后——也要换,避免被关联破解
- 怀疑账户被监控——换+开启提币白名单+清理设备
更换流程跟首次设置一模一样:进安全设置 →编辑防钓鱼码 → 输入新值 → 2FA 确认 → 保存。币安不会让你看到旧值,所以不存在「忘了旧的就改不了」的问题。
防钓鱼码的局限性
A:防钓鱼码不是万能的,它只能识别"邮件是不是真的",不能阻止"你被骗在真假难辨的网站上输入了密码"。
防钓鱼码挡不住的场景
- 直接被钓鱼网站骗输密码——你访问了假的
binance-login.com,把账号密码输进去,这个时候邮件还没出现,防钓鱼码用不上 - 手机端 APP 假冒——下载到了山寨 APP,输密码就被截获
- 客服钓鱼——有人在 Telegram、Discord 假装币安客服私聊你,让你点链接,这种场景跟邮件无关
- API key 泄露被搬空——攻击者拿到 API key 直接动用资金,邮件只是事后通知
所以防钓鱼码要和其他防护配合:官网 URL 收藏夹 + 2FA + 提币白名单 + API IP 限制 + 防钓鱼码,五层防御缺一不可。
常见问题
Q:防钓鱼码可以包含中文或特殊符号吗?
A:不可以。币安只接受英文字母大小写、数字 0-9、以及部分基础符号($、#、@ 等)。中文、空格、emoji 都会报错。建议用纯英数字组合,邮件客户端显示最稳定。
Q:APP 推送通知里会显示防钓鱼码吗? A:APP 推送的标题部分一般不显示,但点开通知进入 APP 内的消息中心后能看到完整内容里带的防钓鱼码。判断推送真假主要看是不是从币安官方 APP 弹出来的——第三方 APP 推送的「币安通知」99% 是钓鱼。
Q:忘了自己设的防钓鱼码是什么怎么办? A:登录币安账户进安全设置,能看到当前已经启用了防钓鱼码但不会显示原文。要看原文只能去自己的邮箱里翻最近一封币安邮件,里面有写。如果实在想换,直接点「编辑」覆盖一个新的就行,不需要先知道旧的。
Q:防钓鱼码会被币安客服问吗? A:不会。币安官方客服永远不会主动问你的防钓鱼码、密码、2FA 码、邮箱验证码。任何人——哪怕显示头像是「币安官方」——主动问你这些信息的,100% 是骗子。客服只会让你描述问题、提供工单号、上传截图。
Q:换邮箱了防钓鱼码要重设吗? A:不需要。防钓鱼码绑的是币安账号本身,不是邮箱。换绑邮箱后,新邮箱收到的币安邮件依然会带原来那串防钓鱼码。但建议换邮箱时同步换一下防钓鱼码,因为旧邮箱里的历史邮件可能还有价值给攻击者参考。
Q:子账户、机构账户的防钓鱼码独立吗?
A:每个独立的币安账户都有自己独立的防钓鱼码。子账户是从母账户派生的,但邮件防钓鱼码可以单独设置——母账户用 MainCat2026,子账户用 SubDog88,两套互不影响。机构账户尤其要给每个授权操作员配独立邮箱+独立防钓鱼码。