2026 年币安钓鱼域名年度变体统计:五类伪造手法的数据画像
2026 年下半年币安钓鱼域名的年度统计报告:从 TLD 分布、中划线插入、数字字母替换、西里尔字符同形、子域名伪装五个维度整理可复现的数据表和辨识动作,附平均存活时间与举报下架窗口。
直接答标题:2026 年上半年我个人记录的 428 个疑似币安钓鱼域名里,五类伪造手法占据了 92% 的样本。我把这份数据集贴在这里,一半是给自己下半年复盘留档,一半是希望别人如果也在做类似的观察,能把口径互相校准一下。样本不算大,但比我之前几个季度加起来都多,趋势线已经明显到不需要再等更多数据。
如果你正在找一个能直接进的正规入口,可以先收藏 币安官网,再回过头看下面的统计——比对起来更有画面感。
数据方法说明
我需要先把方法交代清楚,不然后面所有百分比都没有意义。这不是安全厂商的年报,只是我一个人维护的观察集,样本偏向"能被普通用户搜到"的域名,而不是暗网中转节点。
样本来源与抽样方法
我个人的抽样方法:
- 从 crt.sh 每天拉取带有 binance 关键词的新签 TLS 证书,去重后进入待观察队列;
- 用 urlscan.io 的公开搜索按同样关键词补充可视化截图,剔除官方子域名和明显的技术博客域名;
- 对剩余候选做一次 whois 查询,记录注册商、注册日期、注册人国家字段;
- 每 72 小时复访一次,观察域名是否仍在解析、页面内容是否变化、是否被浏览器安全库标黑。
整个流程写成了一个 shell + Python 的小脚本,跑在我家里的 NAS 上,2026 年 1 月 1 日到 6 月 30 日一共留下了 428 个进入正式样本的域名。
判定标准
我把"钓鱼"定义为:页面在视觉上模仿币安登录/入金/下载流程,且域名不属于币安官方 SAN 列表。仅仅拿币安做 SEO 联盟内容、或者只跳转到第三方交易所推广页的,不计入本篇统计——那是另一个话题。
TLD 分布年度画像
TLD 的分布是我今年最想说的一块。以前大家印象里钓鱼站集中在 .top 和 .xyz,但 2026 上半年画风变了。
主要 TLD 占比
| TLD | 样本数 | 占比 | 单域名平均注册成本 |
|---|---|---|---|
| .cyou | 77 | 18.0% | 约 1.5 美元 |
| .click | 60 | 14.0% | 约 3 美元 |
| .fyi | 47 | 11.0% | 约 4 美元 |
| .support | 39 | 9.1% | 约 5 美元 |
| .top | 34 | 7.9% | 约 1 美元 |
| .xyz | 26 | 6.1% | 约 1 美元 |
| .online | 22 | 5.1% | 约 2 美元 |
| 其他 39 类 | 123 | 28.8% | 混合 |
前四名合计 52.1%,全部是新 gTLD,注册成本没有一个超过 5 美元。这意味着攻击者根本不在乎单个域名被封,撒出去几十个只要有一个存活一天就回本。
A:如果你在浏览器地址栏看到 binance 加上上面任何一个后缀,几乎可以直接判死。 币安官方目前没有使用任何一个 .cyou、.click、.fyi、.support 结尾的域名做门户入口。
中划线插入与数字字母替换的分布
除了 TLD 层面的偷懒,域名主体本身的伪造也有明显模式,可以拆成中划线插入和数字字母替换两个大类。
中划线插入手法
我看到的高频模式主要有三种:
- bin-ance.*:把 binance 从中间拆开,视觉上仍然连成一体;
- binance-vip.*、binance-pro.*:追加一个正面词汇,营造"升级版"错觉;
- binance-login-secure.*、binance-account-verify.*:直接把动作词嵌入域名,配合钓鱼邮件正文使用。
这三种加起来占了中划线类样本的 81%,剩下的 19% 是各种自由发挥,比如 binance-airdrop-2026、binance-listing-alpha 之类蹭热点的写法。
数字字母替换
数字字母替换比中划线少,但更容易骗过快速一瞥,典型样本包括 b1nance、bina0ce、b\l\nance(小写 L 冒充 i),以及在小屏上几乎无法分辨的 rnbinance(rn 冒充 m 的经典 trick 的变体)。
五类手法样本总览
| 手法类别 | 样本数 | 占比 | 平均存活天数 |
|---|---|---|---|
| 廉价新 gTLD 直挂 | 174 | 40.7% | 6.2 |
| 中划线插入 | 96 | 22.4% | 4.8 |
| 数字字母替换 | 58 | 13.6% | 3.9 |
| IDN 西里尔同形 | 41 | 9.6% | 11.5 |
| 子域名伪装 | 25 | 5.8% | 8.3 |
| 其他混合 | 34 | 7.9% | 5.1 |
同形字符类的存活天数明显更长,因为浏览器 Punycode 提示对没经验的用户来说仍然容易忽略。
西里尔字符同形攻击
这类样本数量不多,但辨识难度是所有类别里最高的。我单独拉出来讲。
具体字符对照
我在样本里最常见的三组替换:
- 西里尔 а(U+0430)冒充拉丁 a,出现在 binаnce.com、binаnce.net 型域名;
- 西里尔 с(U+0441)冒充拉丁 c,出现在 binanсe.io 型域名;
- 希腊 ο(U+03BF)或西里尔 о(U+043E)冒充拉丁 o,出现在 binance-οffical 型域名。
肉眼几乎看不出来,只有把域名复制到十六进制查看器里才能发现字符编码不对。现代 Chrome 和 Edge 会在地址栏把这类域名显示成 xn-- 开头的 Punycode,但只有你专门看地址栏才会注意到。
A:遇到不认识的币安相关链接,最省事的做法是永远不点邮件里的链接,自己手打或者用书签打开 币安官网。同形字符攻击对付的就是"看起来对就点"这套本能。
关于地址栏怎么读、证书链要怎么看,我在 /docs/binance-anti-phishing-real-fake/ 和 /docs/binance-ssl-cert-chain-check/ 里写得更细,配合这份统计一起看更有画面。
子域名伪装与 wildcard 滥用
子域名伪装占比不高,只有 5.8%,但迷惑性对懂点技术的用户反而更强,因为域名前半段真的是 binance。
典型样本
我记到的模式包括 binance.global-secure-login.com、binance.account-review-center.net、binance.wallet-verify-2026.cyou。前面看似官方,实际根节点是攻击者控制的域,SSL 证书也是给根域签的,浏览器不会报错。
有几个甚至配了 wildcard 证书,随便造子域名都能带绿锁。这类样本平均存活 8.3 天,比 gTLD 直挂的 6.2 天要长,因为域名主体本身不含 binance 关键词,crt.sh 关键词检索抓不到。
存活时间与下架窗口
最后一块是运营层面的数据:从域名注册到被下架,中间到底有多长的攻击窗口。
registrar 响应速度
| 注册商 | 样本数 | 举报后中位下架时间 |
|---|---|---|
| Namecheap | 88 | 22 小时 |
| Porkbun | 61 | 31 小时 |
| GoDaddy | 54 | 44 小时 |
| NameSilo | 47 | 58 小时 |
| Alibaba Cloud | 39 | 79 小时 |
| Gname | 33 | 96 小时 |
| 其他 | 106 | 中位 71 小时 |
Namecheap 和 Porkbun 明显更配合,反应速度在一天以内。慢的几家能拖到四天,四天足够跑一波邮件 + 短信钓鱼再撤离。
想核对官方入口清单,建议对照 /docs/binance-official-url-2026/ 里我整理的当前有效域名,一起判断更保险;实在拿不准的时候,直接跳去 立即注册,或者到 点击下载 走正规安装流程也行。
风险提示:本文所有数据均为个人观察集,不构成任何投资建议或安全承诺;域名生态每季度都在变化,请以最新公告为准,任何交易操作都请自行判断风险。
常见问答
钓鱼域名注册成本有多低?
A:便宜到令人发指。上面表格里 .cyou 首年 1.5 美元、.top 和 .xyz 只要 1 美元左右。攻击者一次批量注册几十上百个,几百美元就够跑三个月。
同形字符攻击浏览器不是有拦截吗?
现代浏览器确实会在地址栏把可疑的 IDN 域名转成 Punycode 显示(xn-- 开头),但这只是显示层的提示,用户不看地址栏依然会中招。而且不同浏览器规则不一样,Safari 相对更宽容一些。
能不能只信 .com?
不能。.com 里也有假币安,只是数量少一些,因为注册成本高、注册商审核相对严。我今年样本里 .com 结尾的假域名有 18 个,占 4.2%,仍然不可忽略。
crt.sh 能不能主动告警?
crt.sh 本身没有推送 API,但可以用第三方服务比如 Certstream 订阅证书透明度日志的实时流,自己写关键词过滤。我这个流程就是这么搭的。
举报有用吗?
有用,但要举报到位。域名要报 registrar,服务器要报 hosting provider,页面要报 Google Safe Browsing 和 APWG。四条线都走,48 小时内下架的概率会明显提升。
假网站上的钱能追回吗?
绝大多数情况追不回。链上转出以后到混币器只要几分钟,能做的只是尽早报警和交易所冻结请求。所以事前辨识永远比事后追讨更重要。
文档发布于 2026-07-09,下次复测计划 2026-10-09