SMS钓鱼攻击加密投资者：如何避免资金损失

2025年，短信钓鱼（Smishing，(SMS-钓鱼)）已成为加密货币持有者的主要威胁之一。骗子大规模冒充交易所和钱包名义发送虚假短信，而且屡试不爽。以下是其危险性及防护方法。

实际发生了什么

骗子以交易所名义发送短信：“检测到可疑活动。请立即验证身份：[链接]。”听起来很紧急，对吧？受害者点击链接，在仿冒网站输入信息——结果账户余额被清空。

据报告显示，短信钓鱼的成功率约为30%。原因在于：

1. 制造恐慌 —— 账户封禁或资金丢失的威胁让人不假思索地行动。

2. 伪造来源 —— 信息看似官方，号码类似真实号码。

3. 承诺奖励 —— 免费BTC、礼品卡$500 — 激发贪欲。

典型骗局

骗局1：“需要更新KYC资料，否则账户将被封。”受害者将护照扫描件上传给骗子，资料被倒卖或用于身份盗用。

骗局2：“请致电客服”——短信中的号码是假的，骗子套取2FA验证码或密码。

骗局3： 恶意链接在手机上安装间谍软件，读取所有短信和密码。

短信钓鱼与其他攻击的区别

• 钓鱼攻击 —— 通过邮箱(紧迫感较低，更容易核实)
• 语音钓鱼 —— 电话诈骗(需要骗子有较高话术)
• 域名劫持（Farming） —— DNS劫持，跳转至假网站(更偏技术型)

短信钓鱼之所以最有效，是因为人们习惯快速查看短信且不加核实。

短信的危险信号

✋ 如果出现以下情况，切勿点击链接：

• 信息要求你紧急操作
• 要求输入密码、助记词、私钥
• 存在拼写错误或奇怪的表达(正规交易所偶尔也很官方，但不会让人觉得别扭)
• 来自陌生号码
• 承诺你未曾获得的奖励

如何保护自己

1. 不点击短信中的链接

• 有疑问时，请手动在浏览器输入交易所网址
• 检查真实网址(在短信为聊天软件时，可将鼠标悬停查看链接)

2. 启用多因素认证

• 使用Google Authenticator、Authy等应用，不建议用短信2FA
• 短信2FA虽比没有好，但最容易被拦截
• 最佳方式是硬件密钥(Ledger、Trezor)或访问密钥

3. 切勿泄露机密信息

• 交易所/钱包绝不会索要密码或私钥
• 即使自称客服来电，也要求其提供回拨号码并主动致电核实

4. 使用硬件钱包

• 大额资产请离线存储(Ledger、Trezor、Coldcard)
• 设备在你手上，骗子无从下手

5. 关注账户活动

• 定期检查交易所登录历史
• 若发现异常登录，立即修改密码

6. 持续学习防骗知识

• 骗子手法日新月异
• 关注权威渠道的最新安全动态

已经被骗怎么办

1. 立即拉黑骗子号码
2. 修改所有账户密码(如已泄露信息)
3. 为所有服务开启2FA(如尚未设置)
4. 关闭交易所API密钥如已泄露
5. 通过官方客服渠道联系交易所
6. 冻结信用(如已泄露护照等个人信息)
7. 持续监控账户操作一个月内关注银行、加密钱包、社交媒体等

核心观点

在加密世界，你就是自己的银行。除了你自己，没人能保护你的资产。骗子依赖你的急躁和恐慌。若短信要求你紧急操作——几乎肯定是骗局。请通过官方渠道核实，一切将会明朗。