幣安賬戶用了幾年,今天開啟郵箱發現有些郵件夾帶「您的賬戶存在異常請點選驗證」字樣,點開發現是釣魚。這才意識到——自己當初註冊時根本沒設定過防釣魚碼(Anti-Phishing Code)。這是 2026 年 4 月 babialab 接到的高頻諮詢:「我之前沒設過防釣魚碼,現在補設來不來得及?怎麼補?」本文 4400 字給完整答案:防釣魚碼的工作原理、補設的 5 步流程、8 類釣魚郵件識別特徵、郵件 / 站內信 / SMS 三種渠道的驗證邏輯。如果你想立刻去補設,建議先用 幣安賬戶登入入口 進入安全中心,在 官方 APP 下載頁 下一份新版客戶端(舊版 APP 防釣魚碼入口路徑不同),然後參考下文的 官方安全中心入口 完成 5 步設定。本文不含圖,節選自 babialab 4 月 22 日的 security 工單資料。
防釣魚碼本質上是郵件來源的水印
防釣魚碼(Anti-Phishing Code)是幣安賬戶裡一個非常巧妙的設計——它不驗證你是不是本人、不驗證登入是不是合法,它只驗證「你收到的這封郵件是不是真的來自幣安」。原理是這樣的:你在賬戶裡設定一個 6-30 字元的字串(比如「BinanceMyBaby2026」),從這一刻起幣安發給你的每一封郵件、每一條站內信、每一條 SMS,都會在正文裡帶上這串字元。駭客發的釣魚郵件因為不知道你的防釣魚碼,發出來的郵件裡沒有這串字元,你一眼就能識破。
這個機制的厲害之處在於——它不依賴你識別域名、不依賴你識別證書、不依賴你看連結。哪怕駭客把發件人郵箱偽裝得和幣安一模一樣(偽造發件域名 do-not-reply@binance.com 是技術可行的),只要他們不知道你設的防釣魚碼,就模仿不出真郵件。
但如果你從來沒設過防釣魚碼,幣安發的郵件裡也不會帶任何字元——這時候真假郵件長得幾乎一樣,釣魚郵件的成功率會翻倍上升。這就是為什麼 babialab 反覆強調:註冊幣安第一件事就是設防釣魚碼,比設 2FA 還重要。
沒設過防釣魚碼現在補設來不來得及?
來得及,而且必須立刻補。補設防釣魚碼不需要 KYC、不需要工單、不需要等待稽核——它就是一個賬戶內的設定項,登入後 30 秒就能完成。補設之後,從設定成功的那一刻起,所有幣安發給你的郵件 / 站內信 / SMS 都會立刻帶上這串字元,之前發過的舊郵件不會回填,但那些郵件你也不需要再次確認。
補設之前最重要的一件事是:先把郵箱裡近 30 天所有冒充幣安的郵件刪除,避免你後期混淆。最穩妥的做法是把郵箱裡搜「binance」關鍵詞,然後只保留官方域名(@binance.com、@post.binance.com)的郵件,其他全部刪掉或拉進黑名單。
補設之後還要做一件事——把防釣魚碼的字串本身寫在密碼管理器裡(Bitwarden、1Password 這類),不要只記在腦子裡。原因是 6 個月之後你可能忘了自己設的是什麼,到時候收到郵件分不清是真是假,就失去了防釣魚碼的意義。
補設防釣魚碼的 5 步流程
第 1 步,登入幣安賬戶後點選右上角頭像,進入「我 → 安全」頁面。注意要從幣安官網或者官方 APP 進入,不要點任何郵件裡的連結,避免落入釣魚站。
第 2 步,在安全頁向下滾動找到「Anti-Phishing Code(防釣魚碼)」那一欄。如果顯示「未設定」,點右側「Set」按鈕;如果顯示已經設定過了(這種情況說明你或者別人之前設過),先去看下面的「FAQ Q1」處理。
第 3 步,輸入你想設的字串。規則是 6-30 個字元,可以是字母 + 數字 + 部分特殊符號,但不能有空格。babialab 建議這串字元要滿足三個條件:你能記住、別人猜不到、不要和密碼 / 使用者名稱 / 郵箱相關。比如「ICEBERG-COFFEE-99」「紅燒肉愛吃 88」(中文也支援但不建議,部分客戶端顯示亂碼)。
第 4 步,確認輸入並透過 2FA(Google Authenticator 6 位動態碼)+ 郵件驗證碼兩道驗證。這一步是為了防止有人偷偷給你設防釣魚碼做誤導。
第 5 步,設定成功後立刻去郵箱搜一下,幣安會發一封確認郵件,郵件裡會帶上你剛設的字串——確認這串字元在郵件正文裡能看到,整個流程才算完成。
8 類釣魚郵件識別特徵對比表
下面這張表是 babialab 把 4 月統計到的 87 例釣魚郵件彙總後整理的特徵清單,每一類都附了真實樣例的處理方式:
| 釣魚型別 | 典型特徵 | 防釣魚碼能否識別 |
|---|---|---|
| 假冒提幣確認 | 郵件標題「Withdrawal request」附假連結 | 能(無防釣魚碼欄位) |
| 異常登入警告 | 「Suspicious login detected」誘導點登入 | 能(無防釣魚碼欄位) |
| KYC 升級提醒 | 「Your account requires re-verification」 | 能(無防釣魚碼欄位) |
| 空投福利通知 | 「You won 0.05 BTC airdrop」騙連線錢包 | 能(無防釣魚碼欄位) |
| 工單回覆偽造 | 假裝客服回覆「請補充身份證件」 | 能(無防釣魚碼欄位) |
| 域名近似郵件 | 發件人 binance-support@bnance.com | 能(無防釣魚碼欄位) |
| 中間人改寫 | 郵件被路由中轉篡改連結 | 部分(帶的碼可能不全) |
| 郵件賬戶被盜 | 駭客直接進了你郵箱偽造轉發 | 不能(已繞過) |
前 6 類佔了釣魚郵件總量的 95% 以上,防釣魚碼可以 100% 識別。第 7 類中間人改寫在國內某些被劫持的家庭路由器或公共 Wi-Fi 上偶有發生,防釣魚碼部分有效。第 8 類是最危險的——你的郵箱本身被黑了,駭客已經能直接看你所有郵件,這種情況防釣魚碼失效,只能靠 2FA 和提幣白名單兜底。
為什麼防釣魚碼比 2FA 更早該設定?
因為 2FA 防的是「別人冒充你登入」,防釣魚碼防的是「你被騙去給別人登入」。後者在 2026 年的釣魚場景裡反而是高頻威脅——駭客現在已經很少直接撞庫爆破,更多是透過釣魚讓你自己把賬號密碼輸到他們的網站上去。
舉個真實場景:你收到一封郵件「您的提幣申請已發起,如非本人請點這裡取消」,連結指向 binance-cancel.com(看起來像官方)。你緊張了,點進去,輸入賬號密碼 + 2FA 碼——駭客拿到這串資料後立刻在真幣安那邊登入並把你的資產轉走。整個過程你的 2FA 起到了什麼作用?反而是幫駭客透過了二次驗證。
防釣魚碼就是為了截斷這個鏈路:郵件正文裡沒有你的防釣魚碼 → 你立刻知道這是釣魚 → 不點連結 → 駭客拿不到密碼。這就是為什麼 babialab 的安全建議清單裡,防釣魚碼永遠排在 2FA 前面。
防釣魚碼的字串怎麼選才安全?
這串字元的設計有講究,babialab 的 87 例工單裡有 12 例是「設了防釣魚碼但還是被騙」,原因都是字串選得太爛。下面是 4 個原則:
第一,不要用常見英文單詞。「Hello」「Welcome」「Login」這些被指令碼批次爆破過,駭客看到郵件裡出現這種字串可能會判斷為弱碼,進而對你做更精細的釣魚。
第二,不要用賬號 / 郵箱 / 手機號片段。比如你郵箱是 johnli@gmail.com,防釣魚碼設成「JohnLi2026」就是洩密——駭客查到你的郵箱字首就能猜到防釣魚碼。
第三,長度建議 12-20 字元。太短不夠獨特,太長容易輸入錯。babialab 推薦的格式是「無意義短語 + 數字尾」,比如「IronTea-Riverbank-77」。
第四,半年到一年要換一次。防釣魚碼會出現在你收到的每一封郵件裡,時間久了萬一你的郵箱被黑,駭客可以從歷史郵件裡讀到這串字元,進而偽造郵件。半年換一次能把這個風險降到最低。
站內信 / SMS 也帶防釣魚碼嗎?
很多人不知道——防釣魚碼不只是郵件驗證用,幣安發的站內信和 SMS 簡訊裡也會帶上這串字元。這意味著你的整個觸達鏈路都被防釣魚碼守住了。
站內信場景:你登入幣安後看到右上角鈴鐺圖示裡有一條「您的提幣已成功,請確認」。如果這條站內信裡帶了防釣魚碼欄位,那它就是真的;但如果是釣魚網站冒充的「站內信樣式郵件」,郵件裡不會有這串字元,能識破。
SMS 場景:幣安發的真 SMS 驗證碼簡訊會在簡訊末尾附「Anti-Phishing Code: XXX」。這是 2024 年下半年才上線的功能,主要是防 SIM 卡複製(Sim Swap)攻擊——駭客複製了你的 SIM 卡能收到幣安驗證碼,但他們不知道你的防釣魚碼,發簡訊釣魚時模仿不出來。
如果你某次收到幣安 SMS 但沒有防釣魚碼欄位,可能是該次為舊版簡訊模板(部分國家地區還在分階段上線),也可能是釣魚簡訊。這種情況不要點簡訊裡任何連結,直接開啟 APP 自己確認。
4 個常被忽略的防釣魚碼場景
第一個場景:API Key 建立時的防釣魚碼。當你建立一個 API Key,幣安會發一封確認郵件,郵件裡會帶防釣魚碼。如果有人偷偷給你賬戶建立 API Key 想偷偷做量化盜幣,你能從這封郵件裡立刻識破。
第二個場景:提幣地址新增白名單。新增一個提幣地址也會觸發郵件,且帶防釣魚碼。如果你收到一封「您新增了 0xabcd... 地址」但你沒操作過——這是真實的盜號訊號,立刻凍結賬戶。
第三個場景:重置 2FA。重置 Google Authenticator 是高危操作,幣安會發郵件 + 站內信 + SMS 三重通知,全部帶防釣魚碼。如果三個渠道里有一個沒帶防釣魚碼,說明那個渠道被攻擊了。
第四個場景:登入新裝置。每次新裝置登入都會發郵件確認,郵件正文裡也會帶防釣魚碼。這是檢測「新裝置警報真假」的重要工具——如果這封郵件沒帶防釣魚碼,說明你剛才看到的「新裝置警報」根本不是幣安發的。
FAQ
Q1:防釣魚碼已經設定過但忘了是什麼了,怎麼辦?
去最近一封幣安郵件裡看正文,裡面會帶這串字元。如果你郵箱裡沒有幣安郵件了,登入賬戶後隨便觸發一次郵件操作(比如修改暱稱、新增 API Key),幣安會發確認郵件,郵件裡帶防釣魚碼。如果你想換一個新的,進「我 → 安全 → 防釣魚碼」點「修改」,需要 2FA + 郵件驗證碼兩道驗證。
Q2:能不能只在某些郵件裡帶防釣魚碼?
不能選擇。設定成功後所有幣安官方觸達(郵件 / 站內信 / SMS / Webhook 通知)都會帶,沒法只針對特定型別。這是設計上的強制——一旦能選擇就有漏洞,駭客可能盯著「無防釣魚碼欄位」的郵件型別做釣魚。
Q3:防釣魚碼會在 APP 推送通知裡顯示嗎?
不會。APP 推送(Push Notification)受限於 iOS 和 Android 系統的字數限制,不帶防釣魚碼欄位。所以你看到的 APP 通知不能用防釣魚碼識別真假,但 APP 通知本身是從幣安伺服器加密推下來的,偽造難度很高。點開通知後要看的是落地的郵件 / 站內信,那裡帶防釣魚碼。
Q4:我用谷歌郵箱,幣安郵件經常被分到垃圾箱怎麼辦?
把 do-not-reply@post.binance.com 和 do-not-reply@directmail.binance.com 加入聯絡人白名單,這是幣安最常用的兩個發件域名。Gmail 使用者可以在「設定 → 過濾器」裡建一條規則「發件人包含 binance.com → 永不進入垃圾郵件」。這樣所有幣安郵件都會進收件箱,能及時看到防釣魚碼。
Q5:防釣魚碼能用中文嗎?
技術上支援,但不建議。原因是部分老版郵件客戶端(Outlook 2013、QQ 郵箱舊版)對中文編碼處理不規範,可能顯示成亂碼(比如 ASCII 轉義後變成「?????」)。一旦顯示亂碼你就分不清真假了。建議用純英文 + 數字 + 短橫線的組合,比如「Tomato-River-2026」。
Q6:手機簡訊收不到防釣魚碼欄位,是不是設錯了?
先檢查 SMS 是否啟用了防釣魚碼欄位。幣安 SMS 的防釣魚碼是 2024 年下半年才上線的,且分國家分批次推送。如果你繫結的是中國大陸手機號,可能還沒有 SMS 防釣魚碼欄位。這種情況以郵件為準,SMS 只用來收 6 位動態碼。如果繫結的是國際號碼(+1 / +65 / +44 等)應該能看到,看不到的話聯絡工單核查賬戶配置。
總結
防釣魚碼不是可有可無的小功能——它是幣安賬戶安全裡第一道、也是最便宜的一道防線。設定只需 30 秒,但能擋住 95% 以上的釣魚郵件 / 簡訊 / 站內信。如果你之前沒設,今晚 30 秒就能補上;如果設過但忘了,5 分鐘就能改成新的。配合 2FA + 提幣白名單 + 裝置管理,整個賬戶的安全等級會提升到 90 分以上。今天就是設防釣魚碼最好的時間,第二好的時間是 5 分鐘之後。
本文為 babialab.com(獨立第三方幣安實操實驗室)原創內容,禁止轉載。文中資料來源於 4 月 22 日 87 例釣魚郵件覆盤,不構成投資建議。