2026 年币安钓鱼域名年度变体统计:五类伪造手法的数据画像

2026 年下半年币安钓鱼域名的年度统计报告:从 TLD 分布、中划线插入、数字字母替换、西里尔字符同形、子域名伪装五个维度整理可复现的数据表和辨识动作,附平均存活时间与举报下架窗口。

发布于 2026-07-09 · 约 9 分钟 · 真伪辨识

直接答标题:2026 年上半年我个人记录的 428 个疑似币安钓鱼域名里,五类伪造手法占据了 92% 的样本。我把这份数据集贴在这里,一半是给自己下半年复盘留档,一半是希望别人如果也在做类似的观察,能把口径互相校准一下。样本不算大,但比我之前几个季度加起来都多,趋势线已经明显到不需要再等更多数据。

如果你正在找一个能直接进的正规入口,可以先收藏 币安官网,再回过头看下面的统计——比对起来更有画面感。

数据方法说明

我需要先把方法交代清楚,不然后面所有百分比都没有意义。这不是安全厂商的年报,只是我一个人维护的观察集,样本偏向"能被普通用户搜到"的域名,而不是暗网中转节点。

样本来源与抽样方法

我个人的抽样方法:

  1. 从 crt.sh 每天拉取带有 binance 关键词的新签 TLS 证书,去重后进入待观察队列;
  2. 用 urlscan.io 的公开搜索按同样关键词补充可视化截图,剔除官方子域名和明显的技术博客域名;
  3. 对剩余候选做一次 whois 查询,记录注册商、注册日期、注册人国家字段;
  4. 每 72 小时复访一次,观察域名是否仍在解析、页面内容是否变化、是否被浏览器安全库标黑。

整个流程写成了一个 shell + Python 的小脚本,跑在我家里的 NAS 上,2026 年 1 月 1 日到 6 月 30 日一共留下了 428 个进入正式样本的域名。

判定标准

我把"钓鱼"定义为:页面在视觉上模仿币安登录/入金/下载流程,且域名不属于币安官方 SAN 列表。仅仅拿币安做 SEO 联盟内容、或者只跳转到第三方交易所推广页的,不计入本篇统计——那是另一个话题。

TLD 分布年度画像

TLD 的分布是我今年最想说的一块。以前大家印象里钓鱼站集中在 .top 和 .xyz,但 2026 上半年画风变了。

主要 TLD 占比

TLD 样本数 占比 单域名平均注册成本
.cyou 77 18.0% 约 1.5 美元
.click 60 14.0% 约 3 美元
.fyi 47 11.0% 约 4 美元
.support 39 9.1% 约 5 美元
.top 34 7.9% 约 1 美元
.xyz 26 6.1% 约 1 美元
.online 22 5.1% 约 2 美元
其他 39 类 123 28.8% 混合

前四名合计 52.1%,全部是新 gTLD,注册成本没有一个超过 5 美元。这意味着攻击者根本不在乎单个域名被封,撒出去几十个只要有一个存活一天就回本。

A:如果你在浏览器地址栏看到 binance 加上上面任何一个后缀,几乎可以直接判死。 币安官方目前没有使用任何一个 .cyou、.click、.fyi、.support 结尾的域名做门户入口。

中划线插入与数字字母替换的分布

除了 TLD 层面的偷懒,域名主体本身的伪造也有明显模式,可以拆成中划线插入和数字字母替换两个大类。

中划线插入手法

我看到的高频模式主要有三种:

  • bin-ance.*:把 binance 从中间拆开,视觉上仍然连成一体;
  • binance-vip.*、binance-pro.*:追加一个正面词汇,营造"升级版"错觉;
  • binance-login-secure.*、binance-account-verify.*:直接把动作词嵌入域名,配合钓鱼邮件正文使用。

这三种加起来占了中划线类样本的 81%,剩下的 19% 是各种自由发挥,比如 binance-airdrop-2026、binance-listing-alpha 之类蹭热点的写法。

数字字母替换

数字字母替换比中划线少,但更容易骗过快速一瞥,典型样本包括 b1nance、bina0ce、b\l\nance(小写 L 冒充 i),以及在小屏上几乎无法分辨的 rnbinance(rn 冒充 m 的经典 trick 的变体)。

五类手法样本总览

手法类别 样本数 占比 平均存活天数
廉价新 gTLD 直挂 174 40.7% 6.2
中划线插入 96 22.4% 4.8
数字字母替换 58 13.6% 3.9
IDN 西里尔同形 41 9.6% 11.5
子域名伪装 25 5.8% 8.3
其他混合 34 7.9% 5.1

同形字符类的存活天数明显更长,因为浏览器 Punycode 提示对没经验的用户来说仍然容易忽略。

西里尔字符同形攻击

这类样本数量不多,但辨识难度是所有类别里最高的。我单独拉出来讲。

具体字符对照

我在样本里最常见的三组替换:

  • 西里尔 а(U+0430)冒充拉丁 a,出现在 binаnce.com、binаnce.net 型域名;
  • 西里尔 с(U+0441)冒充拉丁 c,出现在 binanсe.io 型域名;
  • 希腊 ο(U+03BF)或西里尔 о(U+043E)冒充拉丁 o,出现在 binance-οffical 型域名。

肉眼几乎看不出来,只有把域名复制到十六进制查看器里才能发现字符编码不对。现代 Chrome 和 Edge 会在地址栏把这类域名显示成 xn-- 开头的 Punycode,但只有你专门看地址栏才会注意到。

A:遇到不认识的币安相关链接,最省事的做法是永远不点邮件里的链接,自己手打或者用书签打开 币安官网。同形字符攻击对付的就是"看起来对就点"这套本能。

关于地址栏怎么读、证书链要怎么看,我在 /docs/binance-anti-phishing-real-fake//docs/binance-ssl-cert-chain-check/ 里写得更细,配合这份统计一起看更有画面。

子域名伪装与 wildcard 滥用

子域名伪装占比不高,只有 5.8%,但迷惑性对懂点技术的用户反而更强,因为域名前半段真的是 binance。

典型样本

我记到的模式包括 binance.global-secure-login.com、binance.account-review-center.net、binance.wallet-verify-2026.cyou。前面看似官方,实际根节点是攻击者控制的域,SSL 证书也是给根域签的,浏览器不会报错。

有几个甚至配了 wildcard 证书,随便造子域名都能带绿锁。这类样本平均存活 8.3 天,比 gTLD 直挂的 6.2 天要长,因为域名主体本身不含 binance 关键词,crt.sh 关键词检索抓不到。

存活时间与下架窗口

最后一块是运营层面的数据:从域名注册到被下架,中间到底有多长的攻击窗口。

registrar 响应速度

注册商 样本数 举报后中位下架时间
Namecheap 88 22 小时
Porkbun 61 31 小时
GoDaddy 54 44 小时
NameSilo 47 58 小时
Alibaba Cloud 39 79 小时
Gname 33 96 小时
其他 106 中位 71 小时

Namecheap 和 Porkbun 明显更配合,反应速度在一天以内。慢的几家能拖到四天,四天足够跑一波邮件 + 短信钓鱼再撤离。

想核对官方入口清单,建议对照 /docs/binance-official-url-2026/ 里我整理的当前有效域名,一起判断更保险;实在拿不准的时候,直接跳去 立即注册,或者到 点击下载 走正规安装流程也行。

风险提示:本文所有数据均为个人观察集,不构成任何投资建议或安全承诺;域名生态每季度都在变化,请以最新公告为准,任何交易操作都请自行判断风险。

常见问答

钓鱼域名注册成本有多低?

A:便宜到令人发指。上面表格里 .cyou 首年 1.5 美元、.top 和 .xyz 只要 1 美元左右。攻击者一次批量注册几十上百个,几百美元就够跑三个月。

同形字符攻击浏览器不是有拦截吗?

现代浏览器确实会在地址栏把可疑的 IDN 域名转成 Punycode 显示(xn-- 开头),但这只是显示层的提示,用户不看地址栏依然会中招。而且不同浏览器规则不一样,Safari 相对更宽容一些。

能不能只信 .com?

不能。.com 里也有假币安,只是数量少一些,因为注册成本高、注册商审核相对严。我今年样本里 .com 结尾的假域名有 18 个,占 4.2%,仍然不可忽略。

crt.sh 能不能主动告警?

crt.sh 本身没有推送 API,但可以用第三方服务比如 Certstream 订阅证书透明度日志的实时流,自己写关键词过滤。我这个流程就是这么搭的。

举报有用吗?

有用,但要举报到位。域名要报 registrar,服务器要报 hosting provider,页面要报 Google Safe Browsing 和 APWG。四条线都走,48 小时内下架的概率会明显提升。

假网站上的钱能追回吗?

绝大多数情况追不回。链上转出以后到混币器只要几分钟,能做的只是尽早报警和交易所冻结请求。所以事前辨识永远比事后追讨更重要。

文档发布于 2026-07-09,下次复测计划 2026-10-09