指南 · 安全
如何识别加密货币骗局并保护自己
大多数加密货币的丢失是因为忘记了密码——但也有不少是被盗的。以下是我们最常看到的诈骗手段,以及能够防范这些诈骗的习惯。
作为一家数据恢复公司,我们接触的往往是那些正经历加密货币投资生涯中最糟糕一天的人,而其中相当一部分案例并非因忘记密码所致——而是本可以避免的盗窃事件。本指南将带您了解那些真正得逞的诈骗手段,以及能够有效防范它们的简单方法。
网络钓鱼和仿冒网站
The classic attack is a fake site that looks like the real one. Scammers register domains with swapped or accented characters — a Cyrillic letter that looks like a Latin one, or an extra character you won’t notice in a hurry — so binance.com reads as “binance.com” at a glance. Rules that defeat it: never click links in emails, DMs or ads to reach a crypto site; type the address yourself or use a saved bookmark; and check the full URL and the SSL certificate before entering anything, any that looks strange just leave the page immediately.
虚假数据恢复服务
这件事与我切身相关,因为诈骗分子会冒充像我们这样的公司。他们的伎俩如出一辙:他们会主动联系你(通过Telegram、X、Facebook、Quora、Instagram),承诺能帮你恢复资产,要求你预付费用,或者让你在某个网站或表单中输入助记词或私钥。真正的恢复服务绝不会做这些事情。 我们绝不会主动联系用户,绝不会收取预付款,绝不会索要完整的助记词,也绝不会出售“恢复软件”。如果有人冒用我们的名义进行上述行为,那便是冒名者——他们的目的正是要掏空你试图挽救的钱包。
SIM卡盗换与双因素认证的迷思
短信双因素认证看似安全,实则不然。攻击者会克隆你的SIM卡或通过社会工程学手段获取SIM卡——有时甚至会欺骗你的运营商为你发放一张新卡——然后拦截发送到“你的”号码上的验证码。在繁忙的会议季,攻击者曾利用这种手段直接针对已知的SIM卡持有人。保护自己:在你的移动运营商处设置号码携出PIN码或密码,并在服务支持的情况下,使用身份验证应用或硬件安全密钥代替短信验证。
密码重复使用与凭证泄露
当你使用的任何网站遭到入侵时——这种情况确实会发生——攻击者首先会尝试将这些凭据用于其他所有地方。如果你的 Exchange 登录凭据与电子邮件登录凭据或社交媒体账户凭据相同,那么一次泄露就会导致所有账户都受到影响。切勿在关键服务中重复使用同一组登录名和密码;请为你的 Exchange、与其关联的电子邮件以及社交媒体账户分别设置唯一且强度的密码,最好通过密码管理器生成。
DNS 和网络攻击
即使地址输入正确,也不一定就安全。在2018年的一起广为人知的事件中,攻击者利用BGP/DNS劫持,将某知名钱包网站的流量重定向至自己的服务器;那些无视证书警告并登录的用户,直接将私钥发送给了骗子,导致巨额资产损失。防范措施虽然老生常谈,却至关重要:在加密货币网站上,切勿忽略任何SSL/TLS证书警告。 如果浏览器提示证书无效或来自未知颁发机构,请立即停止操作——该警告正是系统在履行其职责。
发送前,请核对所有内容
有一类损失完全源于地址篡改型恶意软件以及单纯的粗心大意。请务必核对完整的收款地址,而不仅仅是地址的首尾几个字符,因为剪贴板劫持者会将其替换为相似的地址。使用新地址或新网络时,请先发送一小笔测试金额。发送前请确认您所在的是正确的区块链网络,因为同一个地址可能存在于多个网络中。
出行和参加活动时请格外小心
加密货币会议和公共场所都是“猎场”。在各类活动中,已知的持币者曾遭到人身监视和社交工程攻击,而公共Wi-Fi更是轻而易举就能被窃听。 外出时,请将任何用于加密货币的设备都视为潜在目标:避免在公共网络上登录交易所或钱包,不要与那些表现出异常兴趣的陌生人讨论持仓情况,并警惕那些迅速将话题引向你钱包的“热心”新联系人。酒吧里最友善的人,有时反而最危险。
您的快速安全检查清单
归根结底,关键在于养成并坚持以下习惯:仅通过输入网址或使用书签访问加密货币网站,绝不点击链接;使用身份验证应用或硬件密钥,绝不依赖短信,并设置运营商转出密码;为交易所、其邮箱及社交媒体账户设置各不相同的强密码;绝不忽略证书警告; 仔细核对完整的收款地址,并先发送一小笔测试金额;无论在任何情况下,都绝不要在网站上输入你的助记词,也不要将其交给主动联系你的人。做到这些,你就已经堵住了绝大多数加密货币盗窃的漏洞。
常见问题
硬件钱包能免受这些诈骗的侵害吗?
这样要安全得多,因为密钥从未离开设备——但你仍然可能被钓鱼攻击诱骗,从而批准恶意交易或泄露你的助记词。请仅从官方渠道购买,切勿在任何地方输入你的助记词。
我该如何判断一项数据恢复服务是否是骗局?
风险警示:对方主动联系你、保证能找回资产、要求预付费用,或者索要你的助记词或私钥。正规服务绝不会这样做——它们按成功结果收费,且绝不会要求你提供完整的助记词。
短信双因素认证(SMS 2FA)在加密货币领域安全吗?
其实并非如此。SIM卡盗换会让攻击者截获短信验证码。请使用身份验证应用或硬件安全密钥,并向您的移动运营商申请“携号转网”PIN码。
Telegram上有个人自称来自KeychainX——这是真的吗?
不。我们绝不会在Telegram、X、Facebook或任何平台上主动联系他人,也绝不会索要凭证或预付款。任何有此行为的人都是冒充我们。
要避免上当受骗,最有效的习惯是什么?
切勿点击链接访问加密货币网站——请手动输入网址或使用书签——也切勿在任何网站或表单中输入您的助记词。
我忽略了一个证书警告,结果钱被盗了——你能帮帮我吗?
如果密钥被钓鱼盗取,资金一旦转出,通常就再也找不回来了。恢复服务仅能帮助您在丢失钱包访问权限时取回资金,而无法追回那些已经脱离您控制的被盗资金。
