币安账户用了几年,今天打开邮箱发现有些邮件夹带「您的账户存在异常请点击验证」字样,点开发现是钓鱼。这才意识到——自己当初注册时根本没设置过防钓鱼码(Anti-Phishing Code)。这是 2026 年 4 月 babialab 接到的高频咨询:「我之前没设过防钓鱼码,现在补设来不来得及?怎么补?」本文 4400 字给完整答案:防钓鱼码的工作原理、补设的 5 步流程、8 类钓鱼邮件识别特征、邮件 / 站内信 / SMS 三种渠道的验证逻辑。如果你想立刻去补设,建议先用 币安账户登录入口 进入安全中心,在 官方 APP 下载页 下一份新版客户端(旧版 APP 防钓鱼码入口路径不同),然后参考下文的 官方安全中心入口 完成 5 步设置。本文不含图,节选自 babialab 4 月 22 日的 security 工单数据。
防钓鱼码本质上是邮件来源的水印
防钓鱼码(Anti-Phishing Code)是币安账户里一个非常巧妙的设计——它不验证你是不是本人、不验证登入是不是合法,它只验证「你收到的这封邮件是不是真的来自币安」。原理是这样的:你在账户里设置一个 6-30 字符的字符串(比如「BinanceMyBaby2026」),从这一刻起币安发给你的每一封邮件、每一条站内信、每一条 SMS,都会在正文里带上这串字符。黑客发的钓鱼邮件因为不知道你的防钓鱼码,发出来的邮件里没有这串字符,你一眼就能识破。
这个机制的厉害之处在于——它不依赖你识别域名、不依赖你识别证书、不依赖你看链接。哪怕黑客把发件人邮箱伪装得和币安一模一样(伪造发件域名 do-not-reply@binance.com 是技术可行的),只要他们不知道你设的防钓鱼码,就模仿不出真邮件。
但如果你从来没设过防钓鱼码,币安发的邮件里也不会带任何字符——这时候真假邮件长得几乎一样,钓鱼邮件的成功率会翻倍上升。这就是为什么 babialab 反复强调:注册币安第一件事就是设防钓鱼码,比设 2FA 还重要。
没设过防钓鱼码现在补设来不来得及?
来得及,而且必须立刻补。补设防钓鱼码不需要 KYC、不需要工单、不需要等待审核——它就是一个账户内的设置项,登入后 30 秒就能完成。补设之后,从设置成功的那一刻起,所有币安发给你的邮件 / 站内信 / SMS 都会立刻带上这串字符,之前发过的旧邮件不会回填,但那些邮件你也不需要再次确认。
补设之前最重要的一件事是:先把邮箱里近 30 天所有冒充币安的邮件删除,避免你后期混淆。最稳妥的做法是把邮箱里搜「binance」关键词,然后只保留官方域名(@binance.com、@post.binance.com)的邮件,其他全部删掉或拉进黑名单。
补设之后还要做一件事——把防钓鱼码的字符串本身写在密码管理器里(Bitwarden、1Password 这类),不要只记在脑子里。原因是 6 个月之后你可能忘了自己设的是什么,到时候收到邮件分不清是真是假,就失去了防钓鱼码的意义。
补设防钓鱼码的 5 步流程
第 1 步,登入币安账户后点击右上角头像,进入「我 → 安全」页面。注意要从币安官网或者官方 APP 进入,不要点任何邮件里的链接,避免落入钓鱼站。
第 2 步,在安全页向下滚动找到「Anti-Phishing Code(防钓鱼码)」那一栏。如果显示「未设置」,点右侧「Set」按钮;如果显示已经设置过了(这种情况说明你或者别人之前设过),先去看下面的「FAQ Q1」处理。
第 3 步,输入你想设的字符串。规则是 6-30 个字符,可以是字母 + 数字 + 部分特殊符号,但不能有空格。babialab 建议这串字符要满足三个条件:你能记住、别人猜不到、不要和密码 / 用户名 / 邮箱相关。比如「ICEBERG-COFFEE-99」「红烧肉爱吃 88」(中文也支持但不建议,部分客户端显示乱码)。
第 4 步,确认输入并通过 2FA(Google Authenticator 6 位动态码)+ 邮件验证码两道验证。这一步是为了防止有人偷偷给你设防钓鱼码做误导。
第 5 步,设置成功后立刻去邮箱搜一下,币安会发一封确认邮件,邮件里会带上你刚设的字符串——确认这串字符在邮件正文里能看到,整个流程才算完成。
8 类钓鱼邮件识别特征对比表
下面这张表是 babialab 把 4 月统计到的 87 例钓鱼邮件汇总后整理的特征清单,每一类都附了真实样例的处理方式:
| 钓鱼类型 | 典型特征 | 防钓鱼码能否识别 |
|---|---|---|
| 假冒提币确认 | 邮件标题「Withdrawal request」附假链接 | 能(无防钓鱼码字段) |
| 异常登录警告 | 「Suspicious login detected」诱导点登入 | 能(无防钓鱼码字段) |
| KYC 升级提醒 | 「Your account requires re-verification」 | 能(无防钓鱼码字段) |
| 空投福利通知 | 「You won 0.05 BTC airdrop」骗连接钱包 | 能(无防钓鱼码字段) |
| 工单回复伪造 | 假装客服回复「请补充身份证件」 | 能(无防钓鱼码字段) |
| 域名近似邮件 | 发件人 binance-support@bnance.com | 能(无防钓鱼码字段) |
| 中间人改写 | 邮件被路由中转篡改链接 | 部分(带的码可能不全) |
| 邮件账户被盗 | 黑客直接进了你邮箱伪造转发 | 不能(已绕过) |
前 6 类占了钓鱼邮件总量的 95% 以上,防钓鱼码可以 100% 识别。第 7 类中间人改写在国内某些被劫持的家庭路由器或公共 Wi-Fi 上偶有发生,防钓鱼码部分有效。第 8 类是最危险的——你的邮箱本身被黑了,黑客已经能直接看你所有邮件,这种情况防钓鱼码失效,只能靠 2FA 和提币白名单兜底。
为什么防钓鱼码比 2FA 更早该设置?
因为 2FA 防的是「别人冒充你登入」,防钓鱼码防的是「你被骗去给别人登入」。后者在 2026 年的钓鱼场景里反而是高频威胁——黑客现在已经很少直接撞库爆破,更多是通过钓鱼让你自己把账号密码输到他们的网站上去。
举个真实场景:你收到一封邮件「您的提币申请已发起,如非本人请点这里取消」,链接指向 binance-cancel.com(看起来像官方)。你紧张了,点进去,输入账号密码 + 2FA 码——黑客拿到这串数据后立刻在真币安那边登入并把你的资产转走。整个过程你的 2FA 起到了什么作用?反而是帮黑客通过了二次验证。
防钓鱼码就是为了截断这个链路:邮件正文里没有你的防钓鱼码 → 你立刻知道这是钓鱼 → 不点链接 → 黑客拿不到密码。这就是为什么 babialab 的安全建议清单里,防钓鱼码永远排在 2FA 前面。
防钓鱼码的字符串怎么选才安全?
这串字符的设计有讲究,babialab 的 87 例工单里有 12 例是「设了防钓鱼码但还是被骗」,原因都是字符串选得太烂。下面是 4 个原则:
第一,不要用常见英文单词。「Hello」「Welcome」「Login」这些被脚本批量爆破过,黑客看到邮件里出现这种字符串可能会判断为弱码,进而对你做更精细的钓鱼。
第二,不要用账号 / 邮箱 / 手机号片段。比如你邮箱是 johnli@gmail.com,防钓鱼码设成「JohnLi2026」就是泄密——黑客查到你的邮箱前缀就能猜到防钓鱼码。
第三,长度建议 12-20 字符。太短不够独特,太长容易输入错。babialab 推荐的格式是「无意义短语 + 数字尾」,比如「IronTea-Riverbank-77」。
第四,半年到一年要换一次。防钓鱼码会出现在你收到的每一封邮件里,时间久了万一你的邮箱被黑,黑客可以从历史邮件里读到这串字符,进而伪造邮件。半年换一次能把这个风险降到最低。
站内信 / SMS 也带防钓鱼码吗?
很多人不知道——防钓鱼码不只是邮件验证用,币安发的站内信和 SMS 短信里也会带上这串字符。这意味着你的整个触达链路都被防钓鱼码守住了。
站内信场景:你登入币安后看到右上角铃铛图标里有一条「您的提币已成功,请确认」。如果这条站内信里带了防钓鱼码字段,那它就是真的;但如果是钓鱼网站冒充的「站内信样式邮件」,邮件里不会有这串字符,能识破。
SMS 场景:币安发的真 SMS 验证码短信会在短信末尾附「Anti-Phishing Code: XXX」。这是 2024 年下半年才上线的功能,主要是防 SIM 卡复制(Sim Swap)攻击——黑客复制了你的 SIM 卡能收到币安验证码,但他们不知道你的防钓鱼码,发短信钓鱼时模仿不出来。
如果你某次收到币安 SMS 但没有防钓鱼码字段,可能是该次为旧版短信模板(部分国家地区还在分阶段上线),也可能是钓鱼短信。这种情况不要点短信里任何链接,直接打开 APP 自己确认。
4 个常被忽略的防钓鱼码场景
第一个场景:API Key 创建时的防钓鱼码。当你创建一个 API Key,币安会发一封确认邮件,邮件里会带防钓鱼码。如果有人偷偷给你账户创建 API Key 想偷偷做量化盗币,你能从这封邮件里立刻识破。
第二个场景:提币地址添加白名单。新增一个提币地址也会触发邮件,且带防钓鱼码。如果你收到一封「您新增了 0xabcd... 地址」但你没操作过——这是真实的盗号信号,立刻冻结账户。
第三个场景:重置 2FA。重置 Google Authenticator 是高危操作,币安会发邮件 + 站内信 + SMS 三重通知,全部带防钓鱼码。如果三个渠道里有一个没带防钓鱼码,说明那个渠道被攻击了。
第四个场景:登入新设备。每次新设备登入都会发邮件确认,邮件正文里也会带防钓鱼码。这是检测「新设备警报真假」的重要工具——如果这封邮件没带防钓鱼码,说明你刚才看到的「新设备警报」根本不是币安发的。
FAQ
Q1:防钓鱼码已经设置过但忘了是什么了,怎么办?
去最近一封币安邮件里看正文,里面会带这串字符。如果你邮箱里没有币安邮件了,登入账户后随便触发一次邮件操作(比如修改昵称、新增 API Key),币安会发确认邮件,邮件里带防钓鱼码。如果你想换一个新的,进「我 → 安全 → 防钓鱼码」点「修改」,需要 2FA + 邮件验证码两道验证。
Q2:能不能只在某些邮件里带防钓鱼码?
不能选择。设置成功后所有币安官方触达(邮件 / 站内信 / SMS / Webhook 通知)都会带,没法只针对特定类型。这是设计上的强制——一旦能选择就有漏洞,黑客可能盯着「无防钓鱼码字段」的邮件类型做钓鱼。
Q3:防钓鱼码会在 APP 推送通知里显示吗?
不会。APP 推送(Push Notification)受限于 iOS 和 Android 系统的字数限制,不带防钓鱼码字段。所以你看到的 APP 通知不能用防钓鱼码识别真假,但 APP 通知本身是从币安服务器加密推下来的,伪造难度很高。点开通知后要看的是落地的邮件 / 站内信,那里带防钓鱼码。
Q4:我用谷歌邮箱,币安邮件经常被分到垃圾箱怎么办?
把 do-not-reply@post.binance.com 和 do-not-reply@directmail.binance.com 加入联系人白名单,这是币安最常用的两个发件域名。Gmail 用户可以在「设置 → 过滤器」里建一条规则「发件人包含 binance.com → 永不进入垃圾邮件」。这样所有币安邮件都会进收件箱,能及时看到防钓鱼码。
Q5:防钓鱼码能用中文吗?
技术上支持,但不建议。原因是部分老版邮件客户端(Outlook 2013、QQ 邮箱旧版)对中文编码处理不规范,可能显示成乱码(比如 ASCII 转义后变成「?????」)。一旦显示乱码你就分不清真假了。建议用纯英文 + 数字 + 短横线的组合,比如「Tomato-River-2026」。
Q6:手机短信收不到防钓鱼码字段,是不是设错了?
先检查 SMS 是否启用了防钓鱼码字段。币安 SMS 的防钓鱼码是 2024 年下半年才上线的,且分国家分批次推送。如果你绑定的是中国大陆手机号,可能还没有 SMS 防钓鱼码字段。这种情况以邮件为准,SMS 只用来收 6 位动态码。如果绑定的是国际号码(+1 / +65 / +44 等)应该能看到,看不到的话联系工单核查账户配置。
总结
防钓鱼码不是可有可无的小功能——它是币安账户安全里第一道、也是最便宜的一道防线。设置只需 30 秒,但能挡住 95% 以上的钓鱼邮件 / 短信 / 站内信。如果你之前没设,今晚 30 秒就能补上;如果设过但忘了,5 分钟就能改成新的。配合 2FA + 提币白名单 + 设备管理,整个账户的安全等级会提升到 90 分以上。今天就是设防钓鱼码最好的时间,第二好的时间是 5 分钟之后。
本文为 babialab.com(独立第三方币安实操实验室)原创内容,禁止转载。文中数据来源于 4 月 22 日 87 例钓鱼邮件复盘,不构成投资建议。