加密交易所账户的 SIM 换卡攻击:先锁定哪些设置
面向交易所用户的 SIM 换卡防护清单:不要只依赖短信 2FA,保护邮箱,添加备用 passkey,限制提现,并在手机服务突然中断时及时处理。
我们如何核查指南
- 我们查阅了 Coinbase 关于电话类攻击、强 2FA 和账户锁定的官方帮助;Kraken 关于 passkey、多重 2FA 和手机丢失的支持文档;Binance 关于防钓鱼码和 API 限制的安全说明;以及 Ledger 关于剪贴板劫持的资料。
SIM 换卡不只是运营商问题。对加密交易所账户来说,手机突然没信号可能很快变成登录重置和提现攻击。
简短结论
如果账户仍依赖短信,请在存入大额资金前处理。使用 passkey 或安全密钥,保护绑定邮箱,添加可靠备用方式,并提前开启提现保护。
| 风险区域 | 更安全的设置 |
|---|---|
| 登录 | 使用 passkey、硬件安全密钥或验证器,不要只靠短信。 |
| 恢复 | 尽量避免电话恢复,并为邮箱启用强 2FA。 |
| 提现 | 开启地址白名单或新地址等待期。 |
| 警报 | 把手机突然断网当作安全事件。 |
| 长期持有 | 不交易的币转到自己控制的钱包。 |
攻击如何影响账户
Coinbase 将电话类攻击描述为攻击者把受害者号码转到自己设备。使用短信 2FA 或电话恢复的账户会受威胁。常见流程是:手机失去服务,攻击者收到验证码,尝试进入交易所或邮箱,然后快速提现。
先锁定哪些设置
1. 替换短信 2FA
Coinbase 建议使用安全密钥、passkey 或验证器等更强方式。Kraken 说明 passkey 绑定真实网站或应用身份,因此更抗钓鱼。
2. 添加独立备用方式
日常使用一种方式,再单独保存硬件密钥或 passkey。若有恢复码,请离线保存。不要为了方便添加不该控制账户的人。
3. 保护邮箱
如果邮箱也能通过同一手机号恢复,风险仍在。使用唯一密码、强 2FA,并移除旧恢复方式。
4. 开启提现白名单
白名单的价值在于延迟攻击者。冷静时添加自己的钱包地址,仔细核对并小额测试。更多见交易所账户安全清单。
5. 长期资金不要留在交易所
加固后的账户仍是交易所账户。长期持有应买入后转到自控钱包。阅读从交易所转到硬件钱包和新手加密钱包。
手机突然没服务时
| 步骤 | 操作 |
|---|---|
| 1 | 通过可信渠道联系运营商,询问是否换卡或携号转移。 |
| 2 | 如怀疑未授权访问,锁定交易所账户。 |
| 3 | 先保护邮箱,再检查会话和提现。 |
| 4 | 撤销未知会话,更换受影响的 2FA。 |
| 5 | 提现前在可信钱包屏幕核对地址。 |
假客服会利用恐慌。请阅读加密客服电话骗局。
SIM 换卡、剪贴板恶意软件和地址投毒
SIM 换卡针对登录和恢复。剪贴板恶意软件替换粘贴地址。地址投毒让你从历史记录复制相似地址。转账前务必在可信设备上核对地址。
谁应优先处理
若交易所余额较大、短信是主要 2FA、邮箱可用电话恢复、准备转自托管或启用 API 密钥,应优先处理。选择交易所可先看新手加密交易所和Kraken vs Coinbase。
我们如何核查
我们查阅了 Coinbase 关于电话类攻击、强 2FA 和账户锁定的官方帮助;Kraken 关于 passkey、多重 2FA 和手机丢失的支持文档;Binance 关于防钓鱼码和 API 限制的安全说明;以及 Ledger 关于剪贴板劫持的资料。
结论
降低手机号的重要性:使用抗钓鱼登录,保护邮箱恢复,锁定提现,并把长期资产转为自托管。
获取 Coin Buyer Guide 摘要
每周一封实用邮件,包含新的钱包、交易所、卡片、税务和加密安全指南,以及有用的行业动态。不炒作。