凡是在 幣安官網 註冊過賬戶的人,都收到過號稱「來自幣安」的郵件,但其中一部分其實是釣魚連結,肉眼很難分辨。開啟 幣安官方APP 設定防釣魚碼之後,所有真郵件都會帶上你自己設的那串字元——iPhone 使用者參考 iOS 安裝教程 裝好客戶端,5 分鐘就能完成設定。
A:進入幣安賬戶後臺「安全中心」→「防釣魚碼」,輸入一串 8-20 位的英文+數字組合儲存,之後所有幣安官方郵件的正文或主題裡都會顯示這串字元。看不到這串字元的郵件就一定是釣魚。
防釣魚碼到底是什麼
A:防釣魚碼(Anti-Phishing Code)是幣安給賬戶主人配的一個"簽名印章",寫在每封發給你的官方郵件裡,用來證明這封郵件確實是從幣安伺服器發出的。攻擊者發的釣魚郵件因為根本不知道你設了什麼碼,偽造郵件裡要麼沒有這個字串、要麼是錯的。
它的工作原理很樸素:
- 你在賬戶後臺儲存一段任意字串(比如
MyB1nance2026) - 幣安伺服器把這段字串和你的賬號 ID 繫結
- 之後凡是發給你的郵件——登入提醒、提幣確認、API 建立通知、安全告警——都會在郵件正文頭部或者標題裡顯示
Anti-phishing code: MyB1nance2026 - 你看到這串字元匹配,郵件就是真的;不匹配或者沒有,就是假的
釣魚郵件做不到偽造這段碼,因為攻擊者從外部完全沒法知道你設了什麼——它存在幣安資料庫裡,只在出站郵件時才會插入。
為什麼必須設防釣魚碼
A:因為 2025 年以後針對中文加密貨幣使用者的釣魚郵件做得越來越像真郵件,光靠「看域名」「看簽名」已經不夠用。攻擊者會克隆幣安完整的郵件 HTML 模板,連頁尾的法務宣告都一字不漏,普通使用者肉眼分辨不出。
釣魚郵件常見的偽裝手段
- 發件人顯示
noreply@binance.com(實際是偽裝的) - 郵件 HTML 完全複製幣安官方模板
- 連結文字寫
binance.com,滑鼠懸停才看到真實指向binance-login.xyz - 緊迫語氣:「您的賬號有異常登入,請立即點選驗證」
- 假冒提幣申請:「您發起了 5 BTC 的提幣,10 分鐘後執行,如非本人請取消」
設了防釣魚碼以後,你不需要看域名、不需要看連結,第一眼掃一下郵件裡有沒有那串你自己設的字元就完事了。沒有 = 假的,扔掉。
第一步:登入賬戶進入安全設定
A:網頁端比 APP 端設定更方便,建議在 PC 上完成。手機 APP 的入口藏得比較深。
PC 端:
- 登入幣安賬戶
- 滑鼠移到右上角你的頭像/郵箱
- 下拉選單裡選「安全」(Security)
- 滾動到頁面中下部,找「防釣魚碼」(Anti-Phishing Code)那一欄
- 點選「啟用」或「編輯」
APP 端:
- 開啟幣安 APP,點左上角頭像
- 選「安全」
- 滾到底部找「防釣魚碼」
第二步:設定一個合格的防釣魚碼
A:好的防釣魚碼要滿足三個條件——足夠長、足夠獨特、自己一眼能認出。幣安要求 4-20 位,但 4 位太容易被猜中或撞庫。
推薦的防釣魚碼格式
- 長度:8-20 位
- 字符集:大小寫英文 + 數字(不要用純數字)
- 包含:一個你自己的記憶錨點 + 一些隨機字元
- 例子:
Cat$BnB7724、SeaMoon2026Bn、Q3pPpYQ9
避開這些雷區
- 不要用密碼——和登入密碼字元重疊等於雙重風險
- 不要用生日——
19920328太容易被關聯 - 不要用姓名拼音全拼——
zhangsan2026沒意義 - 不要用純數字——
12345678太弱 - 不要用通用詞——
binance123、password這種被洩露字典收錄過 - 不要複製貼上你別處用的字串——降低被關聯猜出的機率
設定好之後儲存,幣安會要求你輸入 2FA 驗證碼確認。這串字元不是密碼,洩露了不會讓你被盜,但洩露了之後就失去了「驗證郵件真偽」的作用,所以也不要隨便發到聊天裡、不要寫在公開的筆記裡。
第三步:在郵件裡找到防釣魚碼
A:儲存成功後,幣安會立刻給你發一封確認郵件,裡面就有你設的碼。這封郵件就是測試樣本。
開啟郵箱,找到幣安最新發來的郵件,正文最上方或最下方會有一行類似:
Anti-phishing code: Cat$BnB7724
或者中文版:
防釣魚碼:Cat$BnB7724
不同型別郵件位置略有差異:
- 登入提醒:通常在標題後面或正文第一行
- 提幣確認:在正文中部「確認按鈕」上方
- 安全告警:在標題裡
- 營銷郵件:通常沒有(這是幣安故意的,營銷郵件不帶碼不影響安全)
所有涉及賬戶操作的郵件——登入、提幣、API 建立、密碼修改、2FA 重置——都必須帶防釣魚碼,沒帶就是假的。
釣魚郵件 vs 真郵件對比
A:下面這張表把常見識別點列出來,看一眼就能判斷。
| 識別點 | 真郵件 | 釣魚郵件 |
|---|---|---|
| 防釣魚碼 | 每封都有,準確無誤 | 沒有,或亂填 |
| 發件人域名 | @binance.com 或 @post.binance.com |
@binance-cn.com、@blnance.com 等仿冒 |
| 連結 hover 後真實地址 | 都是 binance.com 子路徑 |
跳到 xx.cc、xx.xyz 等小眾域名 |
| 語氣 | 客觀陳述事實 | 緊迫,催促立即點選 |
| 附件 | 幾乎不帶附件 | 附帶 .zip、.exe、.html 檔案 |
| 中文翻譯質量 | 流暢 | 經常出現機翻痕跡 |
| 稱呼 | 用你的註冊暱稱 | 「親愛的使用者」「Dear user」 |
| 法務頁尾 | 完整帶香港/開曼地址 | 缺失或是錯的 |
最穩的判斷順序:先看防釣魚碼 → 再看發件人域名 → 再 hover 連結看真實地址。三道關任意一關不透過就直接刪除郵件。
防釣魚碼什麼時候要更換
A:三種情況下應該立刻換防釣魚碼:懷疑郵箱被入侵過、收到了不該帶防釣魚碼的可疑郵件卻帶了正確的碼(極小機率但要警惕)、設了超過 1 年沒換過。
推薦的更換節奏
- 每年換 1 次——和密碼同步換,養成習慣
- 郵箱密碼洩露後——立刻換,因為攻擊者可能從郵件歷史裡看到你的碼
- 登入密碼洩露後——也要換,避免被關聯破解
- 懷疑賬戶被監控——換+開啟提幣白名單+清理裝置
更換流程跟首次設定一模一樣:進安全設定 →編輯防釣魚碼 → 輸入新值 → 2FA 確認 → 儲存。幣安不會讓你看到舊值,所以不存在「忘了舊的就改不了」的問題。
防釣魚碼的侷限性
A:防釣魚碼不是萬能的,它只能識別"郵件是不是真的",不能阻止"你被騙在真假難辨的網站上輸入了密碼"。
防釣魚碼擋不住的場景
- 直接被釣魚網站騙輸密碼——你訪問了假的
binance-login.com,把賬號密碼輸進去,這個時候郵件還沒出現,防釣魚碼用不上 - 手機端 APP 假冒——下載到了山寨 APP,輸密碼就被截獲
- 客服釣魚——有人在 Telegram、Discord 假裝幣安客服私聊你,讓你點連結,這種場景跟郵件無關
- API key 洩露被搬空——攻擊者拿到 API key 直接動用資金,郵件只是事後通知
所以防釣魚碼要和其他防護配合:官網 URL 收藏夾 + 2FA + 提幣白名單 + API IP 限制 + 防釣魚碼,五層防禦缺一不可。
常見問題
Q:防釣魚碼可以包含中文或特殊符號嗎?
A:不可以。幣安只接受英文字母大小寫、數字 0-9、以及部分基礎符號($、#、@ 等)。中文、空格、emoji 都會報錯。建議用純英數字組合,郵件客戶端顯示最穩定。
Q:APP 推送通知裡會顯示防釣魚碼嗎? A:APP 推送的標題部分一般不顯示,但點開通知進入 APP 內的訊息中心後能看到完整內容裡帶的防釣魚碼。判斷推送真假主要看是不是從幣安官方 APP 彈出來的——第三方 APP 推送的「幣安通知」99% 是釣魚。
Q:忘了自己設的防釣魚碼是什麼怎麼辦? A:登入幣安賬戶進安全設定,能看到當前已經啟用了防釣魚碼但不會顯示原文。要看原文只能去自己的郵箱裡翻最近一封幣安郵件,裡面有寫。如果實在想換,直接點「編輯」覆蓋一個新的就行,不需要先知道舊的。
Q:防釣魚碼會被幣安客服問嗎? A:不會。幣安官方客服永遠不會主動問你的防釣魚碼、密碼、2FA 碼、郵箱驗證碼。任何人——哪怕顯示頭像是「幣安官方」——主動問你這些資訊的,100% 是騙子。客服只會讓你描述問題、提供工單號、上傳截圖。
Q:換郵箱了防釣魚碼要重設嗎? A:不需要。防釣魚碼綁的是幣安賬號本身,不是郵箱。換綁郵箱後,新郵箱收到的幣安郵件依然會帶原來那串防釣魚碼。但建議換郵箱時同步換一下防釣魚碼,因為舊郵箱裡的歷史郵件可能還有價值給攻擊者參考。
Q:子賬戶、機構賬戶的防釣魚碼獨立嗎?
A:每個獨立的幣安賬戶都有自己獨立的防釣魚碼。子賬戶是從母賬戶派生的,但郵件防釣魚碼可以單獨設定——母賬戶用 MainCat2026,子賬戶用 SubDog88,兩套互不影響。機構賬戶尤其要給每個授權操作員配獨立郵箱+獨立防釣魚碼。