Web3 騙局揭秘：仿冒應用程式

在加密貨幣領域，詐騙者不斷尋找新的方法來欺騙用戶。最近，一種高等級威脅正在捲土重來：仿冒的 Bitget 應用程式。這些應用程式透過偽裝成官方應用程式，從圖標到功能描述幾乎與正版應用程式無異，讓人難以辨別真偽，網路詐騙者透過各種方式誘導用戶下載仿冒應用程式，並竊取他們的個人資訊和數位資產。

什麼是仿冒應用程式？

仿冒應用程式（Fake App、Phishing App、Malicious Copycat App）是指由攻擊者非法開發、仿照知名的正規應用程式（如交易所 App、加密貨幣錢包、社群平台等），在名稱、圖標、介面、功能等方面高度擬真的應用軟體。用戶一旦安裝、使用，往往隱私被竊取，甚至財產受損。

核心特點

● 視覺高度相似：名稱、圖標、介面佈局與正版應用程式極像，僅有細微差別（如 Logo 配色、字體細節）。

● 功能「複製」：具備與正版 App 相似或部分核心功能，有時僅有簡單的跳轉或偽造頁面。

● 惡意權限：安裝後，通常會請求遠超必要使用的手機權限，例如：訪問通訊錄、簡訊、攝影機、麥克風等，用於監視用戶行為或竊取數據。

● 分發管道不正規：常出現於第三方應用程式商店、釣魚網站、簡訊/電子郵件連結、社群等非官方管道。

● 缺乏官方認證資訊：開發者資訊模糊，描述籠統，聯繫方式和隱私權政策等缺失或偽造。

● 存在拼字、文法或描述錯誤：正規開發者發布應用程式會嚴格檢查文字細節，仿冒應用程式往往存在低級錯誤。

● 評論異常：下載量小、評論極端（增加好評或一堆負評），發布時間與評論數不符。

常見攻擊場景

1. 錢包地址替換攻擊：

● 用戶在仿冒交易所應用程式中，進行充值或提領操作

● 仿冒應用程式會秘密替換收款地址為攻擊者控制的地址

● 用戶資金直接轉入攻擊者錢包，無法追回

2. 竊取憑證：

● 用戶在仿冒應用程式上輸入帳號、密碼及二次驗證碼

● 攻擊者獲取憑證後，登入真實平台

● 迅速轉移用戶資產，或執行其他惡意操作

3. 簡訊釣魚誘導：

● 用戶收到「緊急安全警告」或「帳戶異常」簡訊，且簡訊附帶連結，引導下載仿冒應用程式

● 用戶基於緊迫感，安裝應用程式並授予權限

● 攻擊者獲取手機中保存的敏感資訊，甚至助記詞，或劫持簡訊驗證碼，用於在真實平台驗證。

4. 注入惡意程式碼：

● 仿冒應用程式在後台安裝其他惡意軟體

● 部署鍵盤紀錄器，捕獲用戶在其他應用程式中的輸入

● 訪問並上傳裝置中的私鑰或助記詞文件

5. 持續監控：

● 應用程式在後台持續運行，監控用戶活動

● 捕獲螢幕截圖，尤其是在用戶訪問金融應用程式時

● 尋找機會攔截或修改交易資訊

核心原理

仿冒應用程式的核心原則，主要依賴技術欺騙與社會工程學的結合：

1. 技術層面

○ 複製介面與程式碼：

■ 直接複製正版應用程式的 UI 設計、功能模組，甚至部分原始碼，使仿冒應用程式在外觀和基礎功能上與正版無異。

■ 修改正版應用程式的 APK 文件（如替換轉帳地址、植入惡意模組），生成仿冒版本。

○ 濫用權限：

■ 透過申請不必要的權限（如讀取簡訊、訪問通訊錄、定位等），實現數據竊取或遠端控制。

○ 通訊劫持和加密：

■ API 攔截：攔截並修改應用程式與伺服器間的通訊數據

■ 仿冒應用程式會透過加密通道，將竊取的數據（如交易地址、密碼）發送至攻擊者的伺服器。

○ 規避檢測：

■ 程式碼混淆：使用程式碼混淆技術，避開自動安全檢測

■ 延遲啟動：仿冒應用程式中的惡意程式碼在安裝後一段時間或特定條件下才會啟動

■ 動態加載：核心惡意程式碼可能不包含在初始安裝套件中，而是後續遠端加載

■ 權限分散：將需要的敏感權限分散多次請求，降低用戶警覺性

5. 社會工程層面

○ 利用信任：

■ 仿冒知名平台（如 Bitget）的聲譽，利用用戶對原品牌的信任感，自動延伸到仿冒應用程式，讓用戶因信任品牌而放鬆警惕。

○ 緊迫性誘導：

■ 透過簡訊或通知，製造緊迫感（如「帳戶面臨風險」或「資產損失」），降低用戶警覺性、迫使用戶快速行動，無暇驗證真實性。

○ 操控心理：

■ 利用人眼對細微差別不敏感的特點，透過相似視覺元素來欺騙

■ 使用虛假評論和下載量，營造應用程式的可信度

○ 精準投放：

■ 針對加密貨幣投資者等特定群體，定向投放仿冒應用程式，提高攻擊成功率。

○ 動態偽裝：

■ 仿冒應用程式會頻繁更換名稱、圖標和描述，躲避安全軟體檢測，延長生命週期。

如何識別假冒的應用程式

警惕以下危險訊號：

● 不規則圖標：與官方應用程式相比，有微小但明顯的差異

● 過度權限請求：安裝後，請求不必要的裝置權限

● 評論異常：過多的極端正面或負面評論

● 語法與拼字錯誤：應用程式名稱或描述文字中有明顯錯誤

● 下載量異常：合法的 Bitget 應用程式應有大量下載紀錄

● 開發者資訊可疑：缺少或提供虛假的公司資訊

● 發布時間可疑：需謹慎注意新發布卻有大量評論的應用程式

● 來源可疑：透過社群媒體、簡訊或電子郵件推播的應用程式下載連結

Bitget 安全防護措施

Bitget 致力於讓用戶始終領先一步，並清楚知道自己目前所做的事情。

電子郵件觸達

如果您綁定了電子信箱，當您在新裝置登入時，我們會先向您發送一封包含防釣魚碼、驗證碼、登入地點、IP 位址、裝置的電子郵件。請花一些時間來確認其中的所有登入資訊，和您目前登入的裝置資訊完全一致。

當您異地登入成功後，我們會再次發送一封郵件，提醒您的帳號正從其他裝置登入，請確認您的登入資訊。

當您提領時，我們會將驗證碼及本次提領的所有資訊寄至您的信箱，請花一些時間來確認其中的所有提領資訊和您預期的一致。

冷靜期（1 小時或 24 小時）

為防範詐騙導致的衝動操作，Bitget 特別設定了冷靜期（Cooling Period）這個臨時保護機制。當系統偵測到帳戶有潛在風險（如異地登入、可疑交易或疑似詐騙行為時），將自動觸發此機制：

冷靜期時間長度：依風險等級分為 1 小時或 24 小時。

○ 1 小時冷靜期：適用於低風險狀況（如異地登入），短暫限制資金提領，讓用戶快速核查帳戶。

○ 24 小時冷靜期：針對高風險情形（如修改安全選項、釣魚風險），全面暫停資金提領功能，為用戶留出充足時間，重新評估帳戶安全。

官方驗證管道

當您無法判斷對方身分真實性時，您可以透過 Bitget 官方驗證管道進行驗證。

https://www.bitget.com/zh-TC/official-verification

用戶安全防護最佳實踐

確保您綁定多種 2FA

雙因素身分認證（2FA）是一種安全流程，需要兩種不同的身分驗證因素來驗證您的身分。這些因素包括電子郵件、密碼、簡訊、Google Authenticator、金鑰或多種因素的組合。多種雙因素身分認證方法可以增強帳戶的安全性和可靠性。

設定防釣魚碼

防釣魚碼是 Bitget 提供的一項安全功能，設計來幫助用戶辨識釣魚網站。啟用此功能後，Bitget 的所有官方電子郵件和簡訊（不包括簡訊驗證碼）都將包含此代碼。釣魚郵件和簡訊將不包含防釣魚碼，方便用戶辨識是否來自 Bitget 官方管道。

導航到您的用戶個人資料 > 安全中心 > 防釣魚碼，然後按照提示設定您的防釣魚代碼。

有關防釣魚碼的更多資訊，請造訪以下連結

打開跨裝置提幣驗證開關

當您在網頁中進行提幣操作時，流量劫持或 Hijacking 等非法攻擊行為，可能會篡改您的提幣地址，為此我們增加了跨裝置提幣驗證開關，您需要在 Bitget 手機版透過掃描 QR Code 來對提幣地址進行確認，提幣請求才會通過。

保持良好的帳號使用習慣

安裝防毒軟體。確保始終從受信任的官方來源下載應用程式，並避免點擊簡訊中的連結。為了提高安全性，您可能需要考慮專門為您的敏感/機密帳戶使用專用裝置。永遠不要將雞蛋放在同一個籃子裡，不要同時在一台智慧型手機上登入您的電子信箱、插入電話卡以及保存 Google Authenticator，若手機遺失或遭到入侵，所有敏感資訊集中存放將導致「一失足成千古恨」，而分散管理可最大限度減少損失。

結論：安全始於你我，知識是最好的防護

在網路安全領域，技術手段能築起防線，但最終決定防線是否堅固的，依舊是用戶的警覺與知識。詐騙分子常利用混亂與緊迫感設下陷阱​​，當您了解騙術、掌握防範方法，便能識破偽裝、從容應對。Bitget 透過多層次安全防護體系，為用戶爭取安全空間，但最強大的「保護傘」依舊是您對風險的認知。每對騙術多了解一分，都是守護資產的關鍵。

知識即力量，行動即安全。Bitget 將持續更新反詐騙指南與風險預警，而您的每次查核、每個謹慎選擇，都將讓詐騙無機可乘。與我們並肩前行，讓安全成為您我共同的基礎。

想了解更多關於 Bitget 帳號使用安全的最佳實踐，您可以造訪：https://www.bitget.com/zh-TC/support/articles/12560603819255