要求绕过官方渠道
任何建议避免使用公司官方应用程序或网站的说辞,特别是当这些建议声称提供「更快」或「更安全」的替代方案时,都应该立即引起警觉。攻击者可能会提供看似合法但实际上指向恶意域名的链接。
未经核实的案件编号或支持工单
提供「案件编号」来介绍一个定制构建的网络钓鱼门户,这种做法制造了合法性的假象。没有任何正规服务会要求用户通过带有案件编号的外部定制链接来验证身份或执行操作。
真假信息混杂
攻击者经常将真实的个人信息(如电子邮箱或部分社会安全号码)与模糊或不准确的信息混合使用,以增强可信度。任何不一致之处或对「链」、「钱包」或「安全审查」的模糊提及都应引起怀疑。
在替代方案建议中使用真实公司名称
引入像 SafePal 这样可信的名称(即使这些公司确实合法)可能是一种转移注意力的策略。这种做法在提供看似有选择余地和合法性的同时,实际上将受害者导向恶意操作。
过度热心却不进行验证
攻击者表现得很有耐心,鼓励我自己进行研究,而且最初并未索要敏感信息。这种行为模仿了真正的客服人员,使得骗局显得很专业。任何「好得不像真的」的未经请求的帮助都应引起怀疑。
主动防护措施和建议在交易所启用交易级验证
在交易所设置中启用双重认证和基于验证码的验证。这确保任何尝试发送或转移资金的操作都需要发送到你信任的设备进行实时确认,从而防止未经授权的交易。
始终通过合法、已验证的渠道联系服务提供商
在本案例中,我通过直接登录官方平台并提交支持请求来联系我的移动服务提供商和 Coinbase。当账户安全受到威胁时,这是与客服人员互动最安全也是唯一恰当的方式。
交易所客服人员绝不会要求你移动、访问或保护资金
他们也不会要求或提供你的钱包助记词,不会索要你的双重验证码,更不会试图远程访问或在你的设备上安装软件。
考虑使用多重签名钱包或冷钱包储存解决方案
多重签名钱包需要多方批准才能授权交易,而冷钱包则使你的私钥完全保持离线状态。这两种方法都能有效保护长期持有的资产免受远程钓鱼或恶意软件攻击。
收藏官方网址并避免点击来自未经请求信息的链接
手动输入网址或使用可信的收藏夹是避免域名欺骗的最佳方式。
使用密码管理器识别可疑网站并维护强密码
密码管理器通过在虚假或未知域名上拒绝自动填充来帮助防止钓鱼尝试。定期更换密码,如果怀疑遭受恶意攻击,应立即更改密码。
定期审查关联应用、API 密钥和第三方集成