防范钓鱼攻击

一、什么是钓鱼攻击？

钓鱼攻击是一种常见的网络诈骗方式，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，以此来骗取用户账号、密码等私人信息，进而骗取用户资产。

钓鱼攻击的迷惑性很强，就连周杰伦也中过钓鱼网站的圈套。2022年4月1日，周杰伦在社交媒体发文称，他持有的无聊猿BAYC#3738 NFT遭遇了钓鱼攻击，损失金额超过300万。那么，投资者应该如何防范此类诈骗呢？本文将总结几种常见的钓鱼攻击套路，并作出安全提示，请各位用户提高防范意识，保护资金安全。

钓鱼攻击方式主要有邮件攻击、域欺骗：

• 邮件攻击：攻击者向目标用户发送具有诱惑性或误导性邮件，邮件往往携带钓鱼网站链接或者木马程序下载链接等，如果用户不注意辨识就会点击链接进入钓鱼网站或下载木马程序，木马程序一旦运行，则可监视用户键盘输入的敏感信息并实现盗取。

• 域欺骗：攻击者利用用户计算机漏洞，通过恶意代码修改用户计算机中存储的关于DNS信息的文件，将用户要访问的网站地址替换成钓鱼网站地址。用户在浏览器中输入合法的网站地址后就被重定向成钓鱼网站地址，若在这个过程中，用户未察觉，则攻击成功。

二、常见钓鱼网络攻击套路

• 在加密领域常见的网络钓鱼攻击中，骗子可能会假冒平台工作人员，创建钓鱼网站并发布虚假信息，通过短信、邮件等方式，谎称“账户升级”、“迁移”、“清退”、“触发风控”、“资金存在风险”、“成为国际用户”等，诱导用户点击钓鱼网站链接或扫描二维码。而一旦账号密码或短信/邮箱/谷歌验证码等信息泄露，用户账户内的数字资产将被快速窃取。

• 此外在加密钱包方面，骗子同样会以官方名义散布钓鱼网站信息，用户一旦点击进入并进行导入私钥、钱包授权等风险行为，或在在无意中开启了资产转出等权限，私钥和资产即会陷入风险中。甚至骗子会冒充官方人员，直接以空投、安全隐患、密码泄露、提交问题反馈等各种名义，要求用户提供助记词或私钥，用户提交助记词后，很快钱包内的资产就被盗取。

三、如何防范钓鱼攻击？

（1）不点击不明链接和登录不安全网站，以免账号密码泄露，避免造成不必要的损失。

（2）知晓账户安全信息验证及保护的方法，例如：账户登录名和密码与其他网站不要一致，私钥、助记词等信息不要本地保存。

（3）欧易平台活动及业务变更请以官网公告为准。不要通过谷歌，百度搜索引擎搜索网址登录，建议手动输入网址登录，认准欧易官方网站： www.okx.com

（4） 欧易设有防钓鱼码功能，您可以在“个人中心-安全中心-防钓鱼码设置”，设置防钓鱼码后，欧易给您发送的邮件会包含您设置的防钓鱼码，如果邮件中没有防钓鱼码，即为伪造、诈骗邮件。

（5）甄别钓鱼网站：DNS域名系统确保了域名的唯一性，在域名为真的情况下，用户几乎不可能打开虚假网站。因此您可以通过以下方式鉴别钓鱼网站：

（6）您若遇到所谓“官方人员”的电话／邮箱／网址／微信等，您可以在 APP 左上角进入个人中心，点击【帮助中心】一【官方渠道验证】进行验证。欧易APP内置的IM聊天页面已上线蓝色官方标识，如遇自称官方人员却无“官方”后缀的，请勿轻易相信。

（7）请通过官方渠道下载或使用钱包应用，在使用期间注意钱包使用的安全事项：请勿联网保存或传输私钥、助记词等信息，不要向任何人泄露安全信息，不要将私钥导入未知的第三方网站，不要下载与使用第三方提供的未知来源钱包应用。此外，需要谨防假冒加密钱包，使用正规且主流的加密钱包产品，并保持良好的加密钱包使用习惯，警惕任何空投代币或NFT和任何陌生私聊。