SMS 網路釣魚攻擊加密投資者：如何避免損失資金

2025年，短信釣魚（(SMS-phishing)）已成為加密貨幣持有者的主要威脅之一。詐騙分子大量冒充交易所和錢包發送假訊息，而且詐騙手法屢試不爽。以下說明為何這麼危險，以及如何保護自己。

實際發生了什麼

詐騙者會發送假裝來自你交易所的SMS：「發現可疑活動。請立即驗證身份：[連結]」。聽起來很緊急對吧？受害者點擊連結，在假網站輸入資料——資產很快就被清空。

根據報告指出，短信釣魚的成功率約為30%。原因如下：

1. 製造恐慌——威脅帳號被鎖或資金損失，讓人來不及思考就行動。

2. 偽造發件人——訊息看起來像官方發送，號碼也與真實相似。

3. 承諾獎勵——免費BTC、禮品卡等$500 ——激發貪念。

常見詐騙手法

手法1：「需要更新KYC資料，否則帳號將被鎖定。」受害者上傳護照掃描件給詐騙者，資料被販賣或用於身份盜竊。

手法2：「請致電客服」——訊息內的電話號碼為詐騙號碼，詐騙者誘騙取得2FA代碼或密碼。

手法3： 惡意連結安裝間諜軟體至手機，之後能讀取所有SMS及密碼。

短信釣魚與其他攻擊的差異

• 釣魚（Phishing）——透過email (沒那麼緊急，較容易檢查)
• 語音釣魚（Vishing）——語音來電 (需要詐騙者高超話術)
• 網路釣魚（Pharming）——DNS劫持，導向假網站 (技術層面較高)

短信釣魚最有效，因為SMS通常被快速查看，且不易檢查。

SMS的紅色警訊

✋ 遇到以下情況，千萬不要點擊連結：

• 訊息要求你立即執行某事
• 要求你輸入密碼、助記詞、私鑰
• 有拼寫錯誤或奇怪語氣 (即使好的交易所有時會寫得很官方，但不會讓人覺得奇怪)
• 來自陌生號碼
• 承諾你未曾贏得的獎勵

如何保護自己

1. 不要點擊SMS中的連結

• 如果有疑慮，請自行開啟瀏覽器並手動輸入交易所網址
• 檢查實際連結地址 (若在通訊軟體中收到，可用滑鼠游標移到連結上查看)

2. 開啟多重驗證（MFA）

• 使用Google Authenticator、Authy等應用程式，不要用SMS 2FA
• SMS 2FA雖然比沒有好，但最容易被攔截
• 最佳選擇是硬體安全金鑰 (Ledger、Trezor)或Passkey

3. 絕不透露機密資訊

• 交易所/錢包絕不會索取密碼或私鑰
• 即使號稱客服來電，也要求對方提供回撥電話號碼，自己再撥回

4. 使用硬體錢包

• 大額資產請離線存放 (Ledger、Trezor、Coldcard)
• 存在你自己設備上的資產，詐騙者無法竊取

5. 留意帳號活動

• 定期檢查交易所登入記錄
• 發現可疑登入嘗試，立即修改密碼

6. 持續學習新知

• 詐騙手法不斷推陳出新
• 請關注可信來源的最新消息

如果已經受騙該怎麼辦

1. 立即封鎖詐騙號碼
2. 更改所有帳號密碼 (若曾輸入過資料)
3. 啟用2FA於所有服務 (若尚未啟用)
4. 停用已洩漏的API金鑰於交易所
5. 透過官方客服通道通報交易所
6. 凍結信用 (若有提供護照或其他個資)
7. 一個月內密切注意帳戶操作——檢查銀行、加密錢包、社群帳號

核心觀念

在加密世界裡，你就是自己的銀行。除了你自己，沒有人能保護你的資產。詐騙者仰賴你的慌張與急躁。只要SMS要求你立刻行動，幾乎都是詐騙。請透過官方網站或App再次確認，一切自然明朗。