這類騙局的全部本事,就是在你最不設防的時候,把一句嚇人的話送到你眼前:「帳戶登入異常,請立即驗證」「有一筆提領申請,非本人請點此取消」。你心裡咯噔一下,手已經先於腦子點了進去。它不需要駭掉你的帳戶,只需要你慌亂中親手把鑰匙交出來。看完這篇,你會知道為什麼它能得手,以及一條幾乎能擋住所有這類訊息的硬原則。
- 發送號碼、寄件信箱、連結顯示的文字全都能偽造,看「是誰發來的」沒有意義。
- 記住一條硬原則就夠:不點簡訊和郵件裡的任何連結,要查帳戶就自己手動進官網或打開官方 App。
- 正規平台不會用簡訊或電子郵件發連結催你登入、驗證身分;凡是這麼幹的,預設是釣魚。
先看幾條它最常用的話術
把這些當成教學反例記下來,以後再收到類似的,腦子裡第一反應就該是「又來了」。它們幾乎都踩著同一個節奏:製造一件「你的帳戶出事了」的急事,然後逼你立刻處理。
這些就是釣魚簡訊 / 郵件的典型樣子
- 「您的帳戶偵測到異地登入異常,為保障安全,請點擊連結立即驗證身分。」
- 「您的KYC 實名認證即將過期,請於 24 小時內點擊重新認證,逾期帳戶將被凍結。」
- 「您有一筆提領申請正在處理,若非本人操作,請點此立即取消。」
- 「系統升級,您的帳戶需重新啟用,請透過以下連結完成驗證以恢復使用。」
你看出共性了嗎——都在說帳戶出了岔子,都給你一個連結,都催你馬上動手。尤其那條「非本人請點此取消」最陰險:它把你裝進「受害者」的角色,你越是急著「保護自己的錢」,就越聽話地往套裡鑽。
它真正想要的是什麼
這類簡訊和電子郵件本身不偷錢,它只是一個「引路人」,把你領到下一步去交出關鍵資訊。常見的兩個去向:
第一種,把你導向高仿假站。連結打開的頁面和真交易所一模一樣,你在上面輸入帳號密碼,這些資訊即時進了騙子後台;接著頁面提示「為完成驗證,請輸入簡訊 / Google 驗證碼」,你照填,驗證碼也被同步轉走。騙子拿著這套資訊去真站登入、提幣。說到底,釣魚簡訊只是把你送到假站門口的那隻手——假站本身怎麼得手,見 高仿釣魚網站與假交易所。
第二種,把你騙去「聯絡客服」。有的郵件不直接給登入連結,而是留一個「客服電話 / 客服 Telegram」,說有問題點這裡諮詢。你一聯絡,接手的就是假客服,一步步引導你轉帳或交出驗證碼。這條鏈路怎麼收尾,見 假客服與「帳戶解凍」騙局。
怎麼一眼辨識:四個破綻
就算它做得再像,只要你冷靜下來對照這幾點,破綻很難全藏住:
| 破綻 | 它通常怎麼表現 | 你該怎麼看 |
|---|---|---|
| 發送方可偽造 | 號碼 / 信箱看著像官方,有的偽造簡訊還會自動併進官方對話框 | 不管顯示是誰發來的,一律不作為可信依據 |
| 連結網域不對 | 顯示是官網,實際跳轉到拼寫近似或附加詞的假網域 | 顯示文字 ≠ 真實地址,乾脆不點就不用糾結 |
| 製造緊迫和恐懼 | 「24 小時內」「逾期凍結」「立即」「非本人請取消」 | 越催越要停下來,催促本身就是最大的警報器 |
| 稱呼泛泛 | 「親愛的用戶」「尊敬的客戶」,不提你的具體身分 | 群發釣魚往往不知道你是誰,只能用通用稱呼矇 |
說明:以上為常見手法歸納,用於教學辨識,不針對任何特定平台。要核對一個網域是否官方,可用我們的官方網域核對器。
一條硬原則:從根上擋住它
上面四個破綻要逐條記、逐條判,其實有點累,而且騙子也在不停打磨細節。好在你根本不需要練成火眼金睛,只要守住一條原則,這類騙局的「引路」就直接失效:
不點簡訊和郵件裡的任何連結
無論它顯示是誰發的、說得多急,都不點訊息裡的連結。真擔心帳戶出事,就自己手動輸入官方網域進站,或打開你之前裝好的官方 App、用儲存的書籤進入,在裡面看有沒有真實通知。你從一個乾淨入口進去,看到的就是真相;騙子的連結再像,也碰不到你。
這條原則的好處是它不挑場合:不管簡訊裡的話術怎麼變、網域偽裝得多巧、緊迫感造得多足,只要你堅持「訊息裡的連結一概不點、要查自己進」,它從一開始就沒法把你引到假站去。把進站方式固定下來(書籤 + 官方 App),你就不用每次都跟騙子鬥智。
- 把交易所官方網域第一次確認後存成書籤,以後只從書籤或官方 App 進。
- 收到「帳戶異常 / KYC 過期 / 提領待確認」這類訊息,不點連結,自己進站查核。
- 任何頁面要你輸入錢包助記詞或私鑰的,直接判定是騙局——交易所永遠不會要這些。
- 開啟驗證器 2FA 和提幣地址白名單,即便密碼外洩也多一道防線。
為什麼正規平台不會這麼聯絡你
很多人會猶豫:「萬一這條真是官方發的,我不點會不會耽誤事?」可以把這個顧慮徹底放下——正規交易所基本不會用簡訊或電子郵件發一個連結,催你點進去登入、驗證身分或處理緊急異常。
原因很簡單:它們也知道釣魚氾濫,主動給用戶發可點擊的登入 / 驗證連結,等於在教用戶養成「見連結就點」的壞習慣,反而方便了騙子冒充。所以真有需要你處理的事,正規平台的做法是讓你自己進官網或官方 App,在站內通知裡查看和操作。換句話說,凡是帶連結、還催你點進去登入驗證的訊息,你按「它是釣魚」來處理,幾乎不會錯殺真訊息——因為真訊息本就不長這樣。
一句話原則
判斷這類訊息,不看它顯示是誰發的、說得多急,只問一句:它是不是在讓我點連結、然後登入或交驗證碼?是,就當它是釣魚,關掉訊息,自己進站查核。
已經點了、輸了,馬上做這幾件事
如果你已經點進連結、還輸了帳號密碼甚至驗證碼,別自責,速度比什麼都重要,按順序快做:
自己手動進真站改密碼
用書籤或手動輸入官方網域進入真帳戶(確認網域無誤),立刻修改登入密碼和資金密碼。
踢掉陌生裝置、撤銷 API
在安全設定裡查看登入裝置和工作階段,踢掉所有不認識的裝置,撤銷可疑的 API 授權。
檢查提幣白名單和 2FA
看看提幣地址白名單有沒有被加陌生地址、2FA 有沒有被改綁,有就立刻撤銷重設。
轉移資產、回報官方
必要時盡快把資產轉到自己完全控制的安全地址,並透過站內官方客服(不是簡訊裡的「客服」)回報異常。
保留證據、考慮報案
截圖保存那條簡訊 / 郵件、連結網域和操作紀錄。台灣可撥 165、香港可聯絡反詐騙協調中心(ADCC)。完整的止損、取證和報案步驟,見 已經被騙了怎麼辦。
同一條鏈路上的另一種入口:假 App
有的釣魚簡訊不是讓你登入網頁,而是讓你「下載新版 App」,裝上的其實是山寨高仿應用程式。辨識方法見 山寨高仿 App(假 OKX / 假幣安)。
常見疑問
簡訊顯示的發送號碼就是交易所官方號,能信嗎?
不能。簡訊發送號碼和電子郵件寄件地址都能被偽造,有的偽造簡訊甚至會自動併進你和官方過去的同一個對話框,看起來天衣無縫。號碼或寄件人對得上,完全不能當真實證據。判斷真假要看它讓你做什麼、連結指向哪裡,而不是看它顯示是誰發來的。
連結看起來就是官網地址,點進去應該沒事吧?
簡訊和電子郵件裡顯示的文字,和連結實際跳轉的地址可以完全不同——螢幕上寫著官網,點下去卻到了高仿假站。最穩妥的做法是不點訊息裡的任何連結,要查帳戶就自己手動輸入官方網域,或打開之前裝好的官方 App、用儲存的書籤進入,從來不從訊息裡的連結進站。
正規交易所會用簡訊或電子郵件發連結讓我登入、驗證嗎?
基本不會。正規平台不會用簡訊或電子郵件發一個連結,催你點進去登入、驗證身分或處理緊急異常。真有需要處理的事,它會讓你自己進官網或官方 App,在站內查看通知。所以凡是帶連結、還催你點進去登入驗證的訊息,無論顯示是誰發的,都應當預設是釣魚。
我已經點了連結、還輸了帳號密碼,怎麼辦?
動作要快。立刻自己手動進真正的官網或官方 App,改登入密碼和資金密碼;在安全設定裡撤銷所有不認識的登入裝置、撤掉可疑 API 授權;檢查提幣地址白名單和 2FA 有沒有被改動,有就重設;必要時盡快把資產轉到自己完全控制的安全地址,並透過站內官方客服回報。如果你還輸過簡訊或 Google 驗證碼,補救要更快,因為騙子拿到驗證碼後通常會立刻嘗試登入和提幣;在台灣可一併撥 165 反詐騙專線。
別讓一條簡訊替你決定從哪個門進交易所
釣魚簡訊和電子郵件能得手,幾乎都是因為人在慌亂裡順手點了它給的連結。最省心的防線,是從一開始就用正規大所、走官方通路註冊,把官方網域存成書籤、裝好官方 App,以後無論收到什麼訊息,都只從自己這個乾淨入口進。OKX 是主流交易所之一,可透過下面的官方通路註冊,官方網域是 okx.com。
順手再看
- 高仿釣魚網站與假交易所——釣魚連結的盡頭,通常就是這種和真站一模一樣的假站。
- 假客服與「帳戶解凍」騙局——有的釣魚郵件不給連結,改讓你「聯絡客服」,接手的就是騙子。
- 山寨高仿 App(假 OKX / 假幣安)——「下載新版 App」的簡訊,裝上的往往是山寨應用程式。