🛡️ 手机上如何防范加密货币骗局 Avoid Mobile Scams
把手机设置好这一次,骗子就难以掏空你的币;之后每次转账,再守住几个小习惯。
大多数人的币都放在手机上,攻击者自然也盯着这里。区块链转账无法撤销,更没有拒付一说,所以这场较量的关键,是在偷窃发生之前就把它拦下。下面八步就是这套日常,按顺序来。
-
1只从官方渠道安装加密货币 App
打开公司的官方网站,点它给出的下载链接;别在应用商店里搜名字、然后就信排在最前面的那个。交易所和钱包 App 的假冒版本就潜伏在商店里,专偷你的登录信息或助记词。2018 年,某交易所 App 的假版本就抢在正版上线前出现在了 Google Play 上。
安装前先看清开发者名称、下载量和评论。一面倒的诈骗投诉要警惕,一面倒、可疑的满分五星好评同样要警惕。
绝不要侧载 APK 文件或破解版 App。盗换剪贴板的恶意软件,主要就是这样钻进手机的。
-
2开启 2FA 时用 App 或硬件密钥,不要用短信
要开双重验证(2FA),但得挑对类型。验证器 App(Google Authenticator、Authy、Aegis)把验证码留在你自己的设备里。硬件密钥(YubiKey、Google Titan)更进一步,还会替你确认正身在真正的网站上。
别用短信验证码。它跑在老旧的电话网络管线上,能被 SIM 卡交换偷走——这正是下一步要解决的麻烦。
-
3给手机运营商账户上锁
SIM 卡交换,是有人哄骗你的运营商把号码转到他的 SIM 卡上,再把本该发给你的验证码截走。这类案子多半靠社会工程,而非技术入侵。打电话给运营商,加一个转网 PIN 码或密码,或者要求号码变更只能本人到场办理。
-
4保管好助记词和私钥
-
5核对完整地址,先转一笔小额测试
每次转账前,把完整的收款地址从头读到尾,别只瞄开头和结尾那几位。有两种攻击就指望你偷这个懒:剪贴板恶意软件会悄悄把你复制的地址掉包,地址投毒则往你的历史记录里塞一个长得很像的地址,赌你下次直接复用。
转给一个新地址?先转一笔极小额测试,确认到账了,再把剩下的转过去。
-
6签名前看清每一条交易提示
当 App 要你签名或授权什么时,先看清楚。盗币程序的套路,就是诱你授权它动用你的代币,所以凡是你没预料到的「授权」或代币额度请求,一律拒掉。隔段时间打开钱包里的授权列表,把那些不再用的旧授权撤销掉。
-
7保持手机更新,留意挖矿木马
把手机的操作系统和 App 都保持更新,补丁会堵上攻击者钻的那些洞。如果手机突然发烫、电量掉得飞快,可能有某个 App 在后台偷偷挖矿。揪出元凶,删掉它。
-
8别在公共 WiFi 上操作加密货币
开放的公共 WiFi 可能暴露你在上面做的事,所以别在它上面登录交易所或转移资金。改用你自己的移动数据,或一个可信的 VPN。
⚠️ 常见的失误,币就这么被掏空
- 📲 信了应用商店排在最前面的结果,而不是官网给的下载链接
- 📩 2FA 一直留在短信上,或用同一个手机号找回一切
- 🔑 把助记词输进了「同步」「验证」页面
- ✍️ 闭着眼签交易,给出无上限的代币授权
- ⛏️ 相信手机 App 能「挖矿」或白送加密货币
- 📡 在公共 WiFi 上操作加密货币,或对发烫的手机不闻不问
- 📣 在网上炫耀自己持有多少币
如果一条消息催你赶紧动手(什么空投、什么「双倍返币」、什么「不更新就丢钱」的警告),先停一停。拿不准的时候,什么都别做。
❓ 常见问题
- 为什么不直接用短信验证码做 2FA?
- 因为一次 SIM 卡交换就能把你的手机号转到攻击者的 SIM 卡上,验证码短信便会发到对方手机。验证器 App 把验证码留在你自己的设备里,SIM 卡交换够不着。
- 有个「钱包同步」页面要我输入助记词,这正常吗?
- 不正常。真正的钱包只在你第一次设置时把助记词显示一次,之后再也不会问。任何 App、网站或聊天对话要你输入助记词,都是想拿走你的钱。
- 手机 App 真的能挖到加密货币吗?
- 挖不到任何能给你带来收益的东西。号称能在手机上挖矿的 App,通常只是给你看广告和一个假余额。真正挖主流币需要专用硬件,不是一部手机。
- 我把币转错地址了,还能要回来吗?
- 几乎要不回来。区块链交易无法撤销,也没有银行那种拒付,所以转账前核对地址是唯一真正管用的防线。