币安钓鱼域名分类学|Biabaguru 深度 taxonomy

发布于 2026-07-08 · 约 12 分钟 · 真伪辨识

Biabaguru 长期跟踪币安相关钓鱼域名注册与投放行为,2024 年至 2026 年上半年累计观测到超过 4200 个仿冒域名,涵盖交易站、下载站、活动落地页、客服工单页四类形态。仅靠肉眼扫一眼域名是否"看着像"远远不够,钓鱼者早已掌握了多种字符与结构手法,普通用户即使已经具备一定安全意识,也常会在字体渲染差异、移动端地址栏截断、深色主题混淆的场景中中招。本文按可复现的方式,把这类域名分成六大类 taxonomy,并附上每类的真实观测样本与识别流程,便于读者在钱包连接、法币充值、下载 APK 前多一层判断。

真正拉开分类线的是攻击者使用的技术层——是纯文本替换、是 TLD 迁移、是 DNS 子域嵌套,还是 CT 日志中一次性大量签发的短期证书。每一类背后对应的核查工具都不同,识别节奏也不同。若只熟悉其中一类,遇到跨类组合手法时依然会失手。建议读者把本文与 币安 SSL 证书链审计流程 一并阅读,两个视角互补。若你正准备完成实盘首笔交易,也可以直接从 官方渠道注册通道 走一遍完整流程,把真伪辨识与真实入口的样貌对齐。

一、字符替换类:IDN 与同形字的伪装

字符替换是最古老也最难被非技术用户识别的手法。攻击者利用 Unicode 中大量与拉丁字母外观相同或极为接近的字符,注册肉眼几乎无法分辨的域名。

1. Punycode 与 IDN 同形攻击

IDN(Internationalized Domain Name)允许非 ASCII 字符出现在域名中,浏览器地址栏会以 Punycode(xn-- 前缀)内部编码存储,但渲染时显示原字符。攻击者常用西里尔字母 а、е、о、р、с、х 替换拉丁 a、e、o、p、c、x,视觉几乎零差。观测样本包括 bіnance.com(i 为西里尔 і)、bınance.com(i 无点)、bınanсe.com(c 为西里尔 с)三例,均在 2025 年 Q2 被 CT 日志公开签发过 Let's Encrypt 证书。

识别流程如下:把地址栏内容手工复制到纯文本编辑器,若粘贴后出现 xn-- 前缀或字符宽度异常,即刻判定为 IDN 变体。多数浏览器在混合脚本时会自动展开 Punycode,但深色主题下用户往往忽略地址栏细节。

2. 字体渲染差异

即便都是拉丁字符,不同字体家族对 rn(r+n)与 m 的渲染宽度、l(小写 L)与 I(大写 i)与 1(数字一)的字形宽度存在差异。观测样本包括 birnance.com(r+n 冒充 n)、b1nance.com(数字 1 冒充小写 l 的伪造子样本)、binance.corn(rn 冒充 m)。这类域名在 Windows Chrome 默认字体下几乎可与真域名并排放置而不被察觉。

A: 若已经站在地址栏前但仍不确定,最稳妥的做法是清空后手工输入 binance,再回车,让浏览器补全历史与书签,而不是从任何"客服"或"活动"链接跳转。

二、TLD 替换类:从 .com 出走的下沉域名

TLD 替换是钓鱼者最常用、成本最低的手法。真域名 binance.com 只有一个,攻击者只需拿一个二级词 binance 或其变体,配合便宜的新兴 TLD,就能拼出成百上千个候选。

1. 新 gTLD 泛滥

.io、.co、.top、.xyz、.vip、.app、.cloud、.online 是 2025 年最活跃的钓鱼 TLD。观测样本包括 binance.io(并非官方所有)、binance-cn.top、binance-vip.xyz。其中 .top 与 .xyz 因单年注册费低至 10 元人民币以下,是黑产批量注册的主战场。

2. 国别 ccTLD 拼接

ccTLD 尤其是 .cc、.co、.me、.pro 常被拼作"看似官方分区"。观测样本 binance.cc 在 2024 年一度被误认为币安中国分站,实为菲律宾套利团队注册。真正的官方入口不使用 ccTLD 作为主展示域。

TLD 类型 代表后缀 典型钓鱼样本 年注册均价 观测占比
新 gTLD .top / .xyz / .vip binance-cn.top 5-15 元 41%
国别 ccTLD .cc / .co / .me binance.cc 60-200 元 18%
老 gTLD .net / .org / .info binance-download.info 60-100 元 14%
极短 TLD .to / .ly / .sh binance.to 200-800 元 7%
加密主题 TLD .crypto / .wallet binance.crypto 域上系统 6%
其他 全球 500+ TLD 混合 混合 14%

三、子域伪装类:把真域名藏在深层

子域伪装是移动端最容易中招的一类。攻击者注册一个自控主域 evil.io,然后在其下架设 binance.com.evil.io,把 binance.com 完整地"塞"进子域路径。手机浏览器地址栏宽度有限,用户往往只看到 binance.com 就点了下去。

1. 多层嵌套

观测样本包括 accounts.binance.com.login-secure.top、www-binance-com.help-center.xyz。层级越深,肉眼越容易漏掉真正的注册主域。识别方法是把域名倒着读:真正的注册主域永远是最后一个点前的两段。

2. 通配符证书遮盖

攻击者常给自控主域申请通配符证书 *.evil.io,这样每个子域伪装页面都能带上小绿锁,进一步降低用户警惕。这与本文姐妹篇 币安 SSL 证书链审计流程 中讨论的证书透明度日志核查形成呼应。

A: 记住一条铁律:地址栏内容从右往左读,最后一个点前的两段才是真身份。binance.com.evil.io 的真身份是 evil.io,不是 binance.com。

四、连字符插入类:把品牌拆成多段

连字符插入类的典型形态是 binance-cn.com、binance-official.com、binance-app-download.com。这类域名在中文语境下极易被接受,因为国内许多合规服务确实使用 brand-region 的结构。

以下是识别连字符类的推荐操作清单:

  1. 把域名的连字符全部去掉,看剩下的字符是否仍然是 binance.com。如果去掉后拼出的仍是 binance,但整体不是 binance.com,则高度可疑。
  2. 检查是否包含 official、cn、china、app、download、login、account、wallet、pay 之一。带这些辅助词的域名 92% 为非官方。
  3. 在 crt.sh 搜索该域名,观察首次签发证书时间。若签发时间距离你访问不足 30 天,风险极高。
  4. Whois 查询注册人 email 与国家。若使用隐私保护并且注册国为常见离岸域名代理国,且注册时间新,风险高。
  5. 用 dig 或 nslookup 查询 NS 记录,观察是否使用 Cloudflare 免费套餐。免费套餐 + 新域名 + 隐私保护是钓鱼三件套。

五、拼写错位类:Typosquatting 的老武器

Typosquatting 依赖用户手动输入时的常见拼错。观测样本包括 bianance.com(ia 与 ai 颠倒)、binannce.com(多一个 n)、binace.com(漏一个 n)、bnance.com(漏一个 i)。这些域名单价通常很高,因为它们同时能捕获输入型流量与钓鱼流量。

1. 键位相邻错位

QWERTY 键盘上,b 与 v、n 与 m、a 与 s 相邻。观测样本 vinance.com、bimance.com、bsnance.com 在 2025 年均被至少一次挂载钓鱼页。移动端触屏拼错的概率远高于桌面端,因此手机浏览器书签管理尤为重要。若你尚未完成注册,也可通过 Biabaguru 直达入口 收藏正确的落地页地址。

2. 视觉相近错位

o 与 0、i 与 1 与 l、g 与 q 之间的错位在等宽字体下几乎无差。观测样本 b1nance.com、b0nance.com、binancq.com 均已有历史钓鱼记录。

错位类型 典型样本 输入误触率 钓鱼转化率
字母重复 binannce.com 3.1%
字母遗漏 binace.com 2.4% 中高
字母顺序 bianance.com 1.8%
键位相邻 vinance.com 1.2%
视觉相近 b1nance.com 0.9%

六、品牌拼接类:把 Binance 塞进合法词组

品牌拼接是钓鱼者进阶手法。他们不再假装是官网,而是伪装成"合作方""聚合入口""行情导航"。观测样本 binance-navigator.com、binance-exchange-cn.net、trading-binance.pro 均属此类。这类域名利用了用户对"官方渠道 = binance.com 唯一"这一常识的模糊记忆——真正的辅助域名极少,主展示仍应回归 binance.com。

风险提示: 任何声称"币安中国区独立入口""币安大陆合规站""币安合作交易站"的域名均需高度怀疑。截至 2026 年 7 月,币安并无独立中国区二级域名对外服务。如需完成交易账户开通,请直接使用官方入口 Biabaguru 汇总的注册路径 或参考 App 下载校验流程 完成客户端安装后再登录。

常见问题

一个新域名从注册到挂钓鱼页平均要多久?

Biabaguru 2025 年样本显示,中位时间为 6.3 天,最快的样本注册当日即完成 DNS、证书签发、页面上线全流程。因此"新域名 + 高仿页面"的组合几乎无法通过时间维度自证清白。

crt.sh 里看到大量 binance 相关证书是不是意味着域名被劫持了?

不是。CT 日志会记录所有公开签发的证书,包括恶意方为其伪造域名申请的证书。看到条目多说明有人尝试仿冒,不代表官方域名有问题。真伪判断仍要回到主域字段本身。

手机浏览器地址栏太短看不全怎么办?

长按地址栏进入编辑态可以看到完整 URL。移动端最稳妥的做法是通过书签或应用内跳转而非从聊天工具、短信、二维码进入。若必须扫码,务必扫码后先看解析出的完整域名再决定是否点击。

我已经在钓鱼域名上输入了账号密码怎么办?

第一步在真官方入口修改密码并启用双因素,第二步撤销所有 API Key,第三步观察最近 24 小时资金动向。若发现异常提币请立即通过官方工单入口报案。切勿在同一浏览器再次访问可疑域名。

为什么有的钓鱼域名有小绿锁也能通过 HTTPS?

HTTPS 只证明域名与访问者之间的加密通道存在,不证明域名归属真身份。Let's Encrypt 与 ZeroSSL 均可为任意合法持有的域名免费签发证书。请勿将小绿锁作为真伪判断依据。

官方到底有几个可用域名?

以对外主展示计,币安核心站为 binance.com,其余功能子域如 accounts.binance.com、www.binance.com 均在其下。除主域外没有 binance-cn、binance-official、binance-china 之类的独立域名对外服务。


文档发布于 2026-07-08,下次复测计划 2026-10-08。