2022 年至 2025 年服務平台累計被竊金額 | 資料來源:Chainalysis
Chainalysis 和路透社都指出,生成式 AI 是 2024 年詐騙收入飆到至少 99 億美元的關鍵因素之一。合規數據也顯示,社交工程詐騙占今年資安事件的 40.8%,遠遠超過單純的技術漏洞攻擊。最震驚的案例發生在 2025 年 8 月:一名受害者被假冒的硬體錢包「客服人員」騙走了 783 BTC,價值約 9,100 萬美元。
身為 BingX 用戶,了解這些背景非常重要。詐騙者現在會同時利用仿冒網站、假客服、WhatsApp/Telegram 身分盜用,加上 AI 生成的語音,讓你在壓力下更容易做出錯誤判斷。
這份指南會帶你了解加密貨幣釣魚詐騙怎麼運作、如何快速辨識可疑徵兆,以及 BingX 的資安機制(像是防釣魚碼、提領白名單、緊急帳戶鎖定)如何保護你的資產,讓你能更放心交易。
什麼是加密貨幣釣魚詐騙?
加密貨幣釣魚詐騙是一種網路攻擊,詐騙者會假冒成你信任的對象,例如加密貨幣交易所、錢包服務商或客服人員,目的是竊取你的敏感資料。他們會想辦法取得你的私鑰、助記詞或登入憑證,進而控制你的加密資產。
總加密貨幣損失,包括服務平台和個人錢包 | 資料來源:Chainalysis
不同形式的釣魚攻擊
• 電子郵件釣魚: 詐騙者會寄出看似官方的電子郵件,裡面通常包含緊急警告或連結,把你引導到假的登入頁面或密碼重設頁面,藉此竊取你的憑證。資安公司統計顯示,這是 2024 年加密貨幣損失的主要來源。
• 簡訊釣魚(Smishing): 這類簡訊常附上縮短網址或仿冒連結,聲稱要驗證帳戶或提供空投獎勵,實際上會把你導向竊取憑證的假網站。攻擊者通常會針對習慣直接相信手機簡訊內容的用戶下手。
• 語音釣魚(Vishing): 利用偽造的來電顯示,現在還有 AI 語音偽造技術,假裝是客服人員,誘騙受害者透露雙重驗證(2FA)代碼或助記詞。這類社交工程語音詐騙,是 2025 年損失最嚴重的攻擊手法之一。
• 假彈出視窗/覆蓋層: 在拼錯網址或遭植入惡意程式的網站上,會跳出要求你「重新輸入密碼」或進行「安全檢查」的假視窗,目的也是竊取敏感資料。
• 地址污染/零金額轉帳: 攻擊者會從與官方地址相似的錢包,對你發送零金額交易,讓你之後誤複製到錯誤的地址。一名受害者就因為這個手法,損失了價值約 9,100 萬美元的比特幣。
• 應用程式/即時通訊偽裝: 詐騙者會建立假的 WhatsApp 或 Telegram 帳號,套用官方的視覺風格冒充客服,誘導用戶提供資金或私鑰。但官方其實多次強調,他們不會主動私訊用戶推銷投資機會。
常見的加密貨幣釣魚詐騙類型有哪些?
加密貨幣圈的釣魚詐騙每年都在演變。Chainalysis 和 CertiK 的報告都指出,2025 年初的釣魚損失已創新高,光是上半年就有超過 21.7 億美元遭竊,手法涵蓋電子郵件陷阱、仿冒網站、AI 生成通話,以及錢包污染攻擊。這些詐騙的目標都相同:竊取你的登入憑證、助記詞或鏈上簽名授權。
以下整理出幾種最常見的釣魚攻擊方式,以及它們是如何運作的。
1. 假冒郵件:電子郵件釣魚
電子郵件釣魚攻擊範例
電子郵件仍然是最常見、也最有效的釣魚手法之一,因為詐騙者很容易把郵件包裝得看起來像官方通知。他們會複製可信平台的標誌、配色和語氣,有時甚至偽造寄件者名稱,讓郵件顯得毫無破綻。
你可能會收到像這樣的內容:
• 「偵測到可疑登入」
• 「你的提領已被暫停」
• 「請驗證帳戶以避免被停權」
這類郵件通常會夾帶連結,將收件者導向仿冒的登入頁面。一旦輸入密碼或雙重驗證(2FA)代碼,攻擊者便能取得帳戶控制權,並在極短時間內轉移資產。
數據顯示:根據 CertiK 的調查,釣魚詐騙為 2024 年最主要的攻擊手法,截至 2025 年 11 月已造成超過 10.5 億美元的損失,其中電子郵件釣魚仍是最常見的入侵途徑。
安全提示:請務必確認寄件者的完整電子郵件地址,並留意任何異常的拼字或格式。若對郵件真偽有所疑慮,建議直接登入官方網站查詢,不要點擊郵件中的任何連結。
2. 假網站:山寨網站與網址偽造
網址偽造釣魚攻擊範例
詐騙者會建立與官方幾乎一模一樣的假登入頁面,僅在網址上作細微變動,例如:
• bingx-secure.com
• bıngx.com(以相似字元替代)
• bingx-app.help
一旦在這類網站輸入登入資料、助記詞或雙重驗證(2FA)代碼,攻擊者便可完全掌控你的錢包或交易所帳戶。
真實案例:2025 年,香港理工大學與加州大學聖地牙哥分校的研究團隊在 arXiv 上發表研究,分析以太坊與 BNB Chain 上超過 6,600 起地址污染事件,估計與仿冒網址及假錢包介面相關的損失金額超過 8,380 萬美元。
安全提示:建議將 BingX 官方網站加入書籤,僅透過已儲存的書籤登入。輸入任何憑證之前,務必再次確認網址是否正確無誤。
3. 簡訊釣魚(Smishing)
簡訊釣魚(Smishing)攻擊範例 | 資料來源:Berkeley IT Lab
簡訊釣魚會透過製造緊張與急迫感,促使你立即採取行動。常見訊息內容包括:
• 你的帳戶被鎖定
• 提領失敗
• 你符合免費空投資格
這類訊息通常會附上短網址(如 bit.ly 或 tinyurl),將受害者導向惡意網站。
為什麼簡訊釣魚有效:多數人對手機通知的信任程度高於電子郵件,因此更容易在未多加思考下立即回應,而詐騙者正是利用這種反射式行為。
安全提示:請務必避免點擊任何聲稱可「解決帳戶問題」的簡訊連結。若收到可疑通知,請直接開啟 BingX 應用程式或官方網站查詢,而非透過簡訊中的連結操作。
4. 語音釣魚(Vishing)
語音釣魚是以電話為主要管道的詐騙方式,對方會冒充「BingX 客服」、「交易所安全團隊」,甚至是你的銀行,聲稱你的帳戶出現異常,並要求你提供以下資訊:
• 2FA 代碼
• 密碼
• 錢包助記詞
• 裝置的遠端存取權限
在 AI 技術的加持下,詐騙者現在能使用語音偽造,使聲音聽起來像客服人員,甚至像你認識的人,大幅提升欺騙成功率。
數據顯示:根據 WhiteBIT 的 2025 年資安報告,社交工程詐騙(包含語音釣魚)占今年所有加密貨幣資安事件的 40.8%。
警告:BingX 不會以電話方式要求密碼、驗證碼或助記詞。如果有人以此名義來電索取相關資訊,請立即掛斷。
5. 零金額轉帳與地址污染
地址污染詐騙如何運作 | 資料來源:Chainalysis
這類攻擊不是透過收件匣行騙,而是針對你的鏈上交易紀錄下手。攻擊者會從一個與你常用地址高度相似的錢包,向你發送零金額交易。之後在你複製歷史地址準備轉帳時,便有可能誤選攻擊者預先植入的假地址。
真實案例:2025 年 8 月,一名受害者在進行大額轉帳時兩度中招,最終損失價值 9,100 萬美元的比特幣(783 BTC)。區塊鏈分析師確認,攻擊者透過地址污染手法攔截了該筆資金。
安全提示:請勿僅依靠地址的開頭與結尾字元來辨識收款方。建議使用可信任的地址簿,或在發送前逐字確認完整地址是否正確。
6. AI 驅動的釣魚攻擊
AI 驅動釣魚詐騙如何運作 | 資料來源:WeSecureApp
人工智慧正徹底改變釣魚攻擊的樣貌。詐騙者運用 AI 聊天機器人、語音偽造與深度偽造影片,使詐騙內容更逼真、也更難以辨識。根據 Chainalysis 2025 年加密貨幣犯罪報告,AI 驅動的釣魚攻擊助長了 2024 年詐騙收入攀升至至少 99 億美元;分析師並指出,2025 年依舊呈現快速上升趨勢,因為詐騙者能藉由 AI 工具更有效地擴大攻擊規模。
AI 工具讓詐騙者得以:
• 生成近似官方語氣與格式的客服對話
• 製造深度偽造語音,使其聽起來像交易所客服,甚至像認識的人
• 利用外洩資料(姓名、地區或登入紀錄)客製化釣魚郵件
這類攻擊之所以較難辨識,是因為內容呈現高度人性化、具備即時回應能力,並能模仿客服團隊的溝通方式。有些甚至會生成偽造的防釣魚碼,以「偵測到可疑帳戶活動」為由,引導受害者點擊惡意連結。
資安提醒:若收到的訊息帶有過度個人化內容、要求立即驗證,或施加時間壓力促使快速點擊,請務必保持警覺。建議僅透過官方應用程式或網站進行查證,切勿回覆電子郵件、彈出視窗、私訊或不明來電。
7. Telegram 釣魚:假機器人與假管理員
Telegram 釣魚攻擊範例 | 資料來源:新加坡銀行
Telegram 是加密貨幣社群的重要交流平台,但也因此成為釣魚攻擊的主要目標之一。詐騙者常以假「客服機器人」或假冒專案管理員的方式接觸用戶,誘導其提供錢包憑證。根據 WhiteBIT 2025 年資安報告,訊息平台詐騙(特別是 Telegram)占所有加密貨幣釣魚事件的 10% 以上,攻擊者通常會以「儲值錯誤」或「提領失敗」為由展開詐騙。
常見的攻擊流程包括:
• 用戶加入加密貨幣群組後,假機器人立即發送私訊
• 聲稱儲值或 KYC 程序發生異常
• 要求提供助記詞,或引導至偽造的「客服入口」
一旦輸入助記詞或私鑰,資產往往會在數分鐘內遭到轉移。
安全提示:任何交易所或客服團隊皆不會主動私訊用戶。官方工作人員也不會要求提供助記詞或錢包匯出檔案。若收到可疑訊息,建議前往官方群組或頻道確認管理員身分。
8. 應用程式商店釣魚:假應用程式
應用程式商店中的假加密貨幣應用程式 | 資料來源:Sophos
詐騙者也會將惡意軟體偽裝成「錢包應用程式」、「投資組合追蹤工具」,或是真實交易平台的假版本。有些僅出現在第三方 Android 應用程式商店,也有部分會在遭檢舉下架前,短暫出現在官方應用程式商店。這類應用程式可能會攔截登入憑證、記錄按鍵操作,或模仿錢包介面,以核准未經授權的轉帳。
資安公司 Sophos 回報多起 2025 年案例,顯示假錢包應用程式會竊取私鑰並直接傳送至攻擊者控制的伺服器。在許多事件中,用戶誤以為自己使用的是官方應用程式,因為介面幾乎完全相同。
安全提示:請務必僅從可信來源下載應用程式,例如官方網站、Apple App Store 或 Google Play 商店。安裝前應仔細確認開發者名稱與用戶評論,降低遭遇假應用程式的風險。
9. 社群媒體釣魚:假 X/Twitter 帳號和贈品活動
Twitter/X 釣魚詐騙範例|資料來源:Kaspersky
X(前身為 Twitter)是加密貨幣資訊的重要發布平台,但也被詐騙者用來推廣假空投與假贈品活動。攻擊者會冒充交易所、創辦人或影響者,發布要求連接錢包、輸入私鑰或執行交易簽名的連結。
這類詐騙常見的特徵包括:
• 模仿已驗證帳號的假帳戶
• 假造的「成功領取獎勵」截圖
• 內含 QR 碼或指向偽造活動頁面的釣魚連結
一旦使用者連接錢包或簽署惡意合約,攻擊者便能清空資金或取得代幣授權。Chainalysis 與多位資安研究人員指出,社群媒體上的社交工程詐騙在 2025 年仍十分普遍,尤其是假贈品連結,是導致錢包資金遭竊的主要原因之一。
安全提示:請勿信任回覆區或私訊中提供的贈品連結。建議僅透過交易所官方網站或已驗證的官方社群帳號確認相關活動資訊。
10. 假聊天應用程式釣魚:Zoom 或 WhatsApp 偽裝
Zoom 釣魚詐騙範例 | 資料來源:BleepingComputer
詐騙者越來越常利用 Zoom、WhatsApp 等聊天應用程式冒充客服或投資顧問。他們可能透過日曆邀請或私人訊息,宣稱提供「投資組合分析」,又或是假稱你的帳戶出現異常需要立即處理。
常見攻擊手法包括:
• 邀請用戶加入 Zoom 通話
• 假裝協助排除帳戶問題
• 要求使用者在螢幕上登入帳戶或提供 2FA 驗證代碼
• 當使用者照做後,資金通常會在數分鐘內遭到轉移
資安研究人員指出,隨著深度偽造影片與語音技術的成熟,這類攻擊在 2025 年的說服力與成功率均顯著增加。
安全提示:交易所不會透過 Zoom、WhatsApp 或其他私人聊天應用程式安排帳戶復原或進行 KYC 驗證通話。若在通話過程中有人要求進行螢幕分享或索取驗證代碼,請立即結束通話並通報可疑行為。
為什麼釣魚攻擊會成功?
釣魚之所以有效,是因為攻擊者鎖定的是人性,而不是技術層面的弱點。Chainalysis 指出,社交工程詐騙是 2025 年成長最快的加密貨幣威脅型態,普遍利用恐懼、急迫感和「看起來很熟悉」的場景設計。詐騙者會讓用戶以為如果不立刻採取行動,就可能面臨帳戶遭停權或資金被凍結等後果。一旦恐慌出現,人往往會先點擊、後思考。
在加密貨幣領域,釣魚還多了一個優勢:交易幾乎無法逆轉。一旦助記詞、2FA 代碼或錢包簽名外洩,資金就能在幾秒鐘內透過混幣服務或跨鏈橋被轉走,幾乎沒有追回空間。這也是為什麼許多攻擊者偏好釣魚而不是直接駭入系統,竊取憑證比尋找並利用程式碼漏洞更容易,成本也更低。
逼真度則是另一個關鍵因素。AI 已經能協助詐騙者生成郵件、電話內容和聊天訊息,無論文字或語音,都可以高度模仿客服人員,甚至模仿你熟悉的說話或寫作風格。有些攻擊還會搭配先前資料外洩中的個人資訊,讓情境顯得更加可信。根據 Chainalysis 2025 年加密貨幣犯罪報告,這類 AI 輔助手法,推動 2024 年詐騙收入來到至少 99 億美元,且在 2025 年仍持續上升。
好消息是,一旦你理解釣魚的運作邏輯,這些陷阱就會變得容易辨認。下一節會具體說明你應該留意哪些徵兆,幫助你在關鍵時刻停下來、重新驗證,並保護自己的資產。
如何識別釣魚詐騙:關鍵技巧
即使訊息看起來再怎麼「專業」、再怎麼有說服力,只要願意放慢速度、仔細檢查細節,通常都能看出破綻。以下是最常見的可疑徵兆:
1. 通用問候語與製造急迫感的語言:釣魚訊息經常以「親愛的用戶」、「帳戶持有人」這類通用稱呼開頭,甚至完全省略問候語,接著搭配恐嚇式提醒,例如:
• 「你的帳戶即將被鎖定」
• 「需要立即驗證」
• 「偵測到異常登入」
這種急迫感並非偶然設計。資安研究指出,多數成功的加密貨幣釣魚詐騙,都是從「時間壓力」作為開端,讓受害者在還沒仔細思考前就先行動。只要訊息要求你「立刻」處理,「馬上」點擊或驗證,就應該停下來,改由官方應用程式或網站主動登入查證。
2. 文法、用詞或版面顯得不專業: 正規的交易所會對公開文字進行審稿與校對,而釣魚訊息往往充滿各種細節問題,例如:
• 明顯的拼字錯誤
• 不合理或過度的標點符號
• 語氣生硬、不自然的句子結構
• 字體大小、行距或排版不一致
這些問題常見的原因,是許多釣魚內容是透過自動化工具產生,或從其他語言機械式翻譯而來,缺乏基本的語言與排版檢查。如果整體用詞讓你覺得哪裡「怪怪的」,就應該先把這則訊息視為高風險對象,並改用官方管道確認真偽。
3. 不符的連結、短網址或相似網域: 在點擊任何連結前,務必先確認其真實網址。詐騙者常使用以下方式偽裝:
• 網址縮短工具,例如 bit.ly 或 tinyurl
• 在域名中加入額外字元,例如 bingx-service.com 或 bıngx.com
• 拼寫僅差一兩個字元、但與官方網站極為相似的域名
2025 年一份關於錢包污染攻擊的學術研究指出,假網址與介面偽造造成數千萬美元的加密貨幣損失,主要原因之一是用戶未檢查連結就直接點擊。建議先將滑鼠停留在連結上預覽網址。如果顯示的並非 bingx.com,切勿開啟。
4. 假寄件者或偽造的身分資訊 ID: 釣魚郵件往往外觀看起來相當正式,但寄件地址通常與官方地址並不相符,例如:
• service@bıngx.com
詐騙者也會偽造簡訊寄件者名稱,使訊息看似來自可信任的平台。
請務必檢查完整的電子郵件地址,而非僅查看顯示名稱。如果仍有疑慮,請直接開啟官方應用程式或網站查詢,不要透過訊息中的任何連結進行操作。
身為 BingX 用戶,如何避免釣魚詐騙
在加密貨幣領域保持安全,取決於兩件事:良好的習慣和使用 BingX 內建的資安工具。釣魚攻擊已經變得更先進,尤其是 AI 驅動的詐騙,但只要採取幾個實用步驟,就能大幅降低風險。
1. 保持個人警覺
• 將官方網站加入書籤: 請務必透過官方網域登入 BingX:https://www.bingx.com。Chainalysis 指出,每個月都有大量受害者因點擊偽裝成登入頁面或空投活動的釣魚連結而損失資金。將官方網站加入書籤可以有效避免此類風險。
• 使用強而獨特的密碼: 許多加密貨幣資安事件源自攻擊者利用從其他網站外洩的密碼,透過密碼重複使用來接管帳戶。資安研究顯示,重複使用密碼是交易所帳戶遭入侵的主要原因之一。建議使用密碼管理工具來生成並安全儲存複雜密碼。
• 啟用雙重驗證(2FA): 開啟 2FA 能阻擋大部分未經授權的登入行為,尤其是自動化機器人攻擊與憑證填充攻擊。根據業界報告,啟用 2FA 的帳戶被入侵的機率可降低超過 90%。
• 保持設備與軟體更新: 過時的手機、瀏覽器與應用程式更容易遭受攻擊。定期更新系統與軟體,能取得必要的安全修補程式,有助於降低遭惡意工具入侵的風險。
• 避免使用公共 Wi-Fi,或務必搭配 VPN: 公共網路環境容易遭監控,攻擊者可能攔截登入資料。若必須使用公共 Wi-Fi,請務必搭配可信任的 VPN,以加密連線並提升安全性。
2. 使用 BingX 專屬資安功能
BingX 提供多層級安全機制,即使攻擊者取得你的密碼,也能有效降低資產外流風險。以下是你應該啟用的核心防護功能:
1. 設定防釣魚碼: 啟用後,所有來自 BingX 的官方郵件都會顯示你設定的個人化代碼。若郵件未包含此代碼,極有可能是假訊息。你可以前往「帳戶與安全」→「防釣魚碼」啟用此功能。
BingX 防釣魚碼
2. 啟用提領白名單: 提領白名單可讓你預先設定可信任的錢包地址。即使帳戶遭入侵,也無法將資產提領至未授權的新地址。請至「帳戶與安全」→「提領白名單」開啟。
BingX 提領白名單
3. 使用一鍵帳戶鎖定: 若你發現可疑登入或未經授權的行為,BingX 的一鍵鎖定功能可立即凍結帳戶,停止提領、API 權限與所有活動工作階段。
如何在可疑活動時鎖定 BingX 帳戶
4. 驗證官方管道: 請僅從 Apple App Store、Google Play 或 BingX 官方網站下載應用程式。若需確認某個頁面、網域或社群帳號是否真實,可使用 BingX 官方驗證渠道 來確認官方來源。
BingX 官方驗證管渠道
3. 運用 BingX 的平台級驗證
在幕後,BingX 採用多種先進的電子郵件資安協定,包括 DKIM、SPF 和 DMARC。這些標準有助於防止詐騙者偽造 @bingx.com 郵件,並提高官方訊息來自平台本身的可信度。
不過,技術防護並不足以完全阻擋釣魚攻擊,用戶的安全意識依然是最後一道也是最關鍵的防線。請務必仔細檢查網址,絕對不要分享助記詞,並對任何主動私訊或「緊急帳戶警告」保持高度警覺。
如果懷疑遇到釣魚詐騙該怎麼辦?
一旦感到可疑,請立即採取行動。及早反應能有效阻止攻擊者進一步轉移資金。
1. 立即中斷連線: 請先從 BingX 以及你的電子郵件帳號開始更改密碼,同時撤銷其他裝置上的登入工作階段。在再次使用該設備前,務必進行惡意軟體掃描,以排除潛在風險。
2. 聯絡 BingX 客服: 請使用官方客服管道,例如 [email protected] 或應用程式內的客服聊天功能。如已無法登入帳戶,請向客服說明情況,資安團隊會協助鎖定帳戶,並防止任何未經授權的提領操作。
3. 將資產轉移到安全錢包: 若懷疑錢包資料已外洩,請立即將資產轉移至安全錢包。建議使用硬體錢包,或選擇從未在被入侵設備上使用過的新軟體錢包。
4. 檢舉詐騙: 請向 BingX 客服、當地網路犯罪調查單位(例如美國的 FTC),以及可信任的加密貨幣資安社群通報事件。快速檢舉有助於封鎖攻擊者地址,也能在其他用戶受害前發出警示。
結論:了解威脅,才能保障自身安全
釣魚詐騙正以極快速度演變。Chainalysis 指出,AI 輔助的加密貨幣詐騙使 2024 年全球詐騙收入上升至至少 99 億美元,而 2025 年的攻擊活動仍持續增加。攻擊者透過電子郵件、簡訊、深度偽造通話與假應用程式擴大行動範圍,帶來實質且持續的威脅。然而,防禦手段同樣切實有效。
安全防護始於正確的風險意識,並依賴持續的行動落實。建議定期追蹤可信的威脅情報來源,例如 Chainalysis、CertiK 與 Scam Sniffer。這些平台會即時發布與詐騙錢包、假網域、AI 驅動釣魚活動以及錢包清空程式相關的警示資訊,有助於使用者及早掌握風險動向。
BingX 亦透過 BingX 部落格、BingX 學院與官方社群媒體頻道提供最新資安更新、使用指南與平台安全公告。定期查看這些資源,能協助你掌握最新詐騙手法以及可運用的防護工具。
加密貨幣安全並非僅個體責任,資訊共享能有效提升整體社群的防護能力。許多釣魚受害者表示,在事發前「不知道該注意什麼」。若能向身邊的人介紹如何辨識假訊息、偽造彈出視窗與冒充客服的行為,即可降低他人成為下一個受害者的可能性。
快速回顧:如何保護自己
• 對緊急警告、贈品活動與未知連結維持高度警覺
• 將官方網站加入書籤,避免從訊息中的連結登入帳戶
• 使用強密碼並啟用雙因素驗證,同時開啟 BingX 防釣魚碼
• 啟用提領白名單;如出現可疑情況,立即鎖定帳戶
• 保持手機、瀏覽器與應用程式更新,以降低遭惡意軟體攻擊的風險
你的 BingX 帳戶與加密資產都值得細心保護。只要維持良好的使用習慣,並善用平台提供的安全工具,就能大幅提升整體防護能力。持續掌握最新資安資訊並保持警覺,能協助你更安心地管理與運用自己的資產。