朋友圈里突然刷屏的“99图库截图”看起来只是好玩或好看的图片,但也可能成为短信劫持(SMS hijacking)和其他诈骗的入口。先把手放下,别随便点击、扫码或转发——下面把原理、典型套路和你能马上做的“第一步”以及后续防护措施都说清楚。
为什么截图会带来风险(常见套路)
- 图片内嵌二维码或短链接:二维码/短链指向钓鱼页面,诱导输入手机号或验证码,或直接下载一个恶意安装包(APK)。
- 社工式诱导:截图里出现“发送验证码到这个号码领取奖励”“将验证码截图发给我”等提示,诱导你把短信验证码泄露。
- 要你安装“99图库客户端”或更新包:下载的应用请求短信、联系人权限,从而截取验证码。
- 假冒官方页面或客服:扫码进入页面后被要求通过短信验证码完成验证,实际上在把验证码交给攻击者。
- 转发放大力度:截图越转越广,更多人可能中招,攻击者就能更有效地钓鱼或发动SIM换卡等更深层次攻击。
第一步:别点、别扫、先核验 你能做的第一步就是暂停操作,先核验截图里的内容来源和安全性。具体怎么核验:
- 不要直接点击图片里的短链或扫码。
- 先问发这条截图的人:在别的聊天渠道(如来电或私信)确认他们是不是主动发布的,是否知道截图来源。
- 如果截图里有二维码,用能预览URL的扫码工具或在线二维码解析器先查看目标URL,不要直接在手机里打开。
- 对短链使用链接展开/检测服务(如CheckShortURL、VirusTotal、Google Safe Browsing)查看真实域名和是否有风险记录。
- 遇到索要短信验证码的要求,通过官方网站或客服渠道求证,不通过朋友圈或陌生链接完成验证。
- 若截图要求下载某个APP,优先在官方应用商店搜索并查看开发者信息与评论,不要通过第三方链接安装APK。
进一步的防护建议(做完第一步后的接下去)
- 改用更安全的二步验证方式:把重要账户的短信验证码改成基于应用的TOTP(Google Authenticator、Authy等)或使用安全密钥(FIDO2)。
- 检查手机权限:关闭不必要的短信/通讯录权限,删除可疑应用。安卓上留意有SMS、RECEIVESMS、READSMS权限的应用。
- 给手机号加“携号转网/换卡”防护:向运营商设置口令或开通防止被未经授权换绑的服务。
- 定期更改重要账号密码并开启登录通知,发现异常登录立即处理。
- 使用手机安全软件或Google Play Protect等扫描可疑应用与链接。
- 教育朋友圈:遇到疑似带二维码或短链的截图,提醒好友先核验再转发。
如果你已经可能中招(比如已扫码或把验证码发给了他人)
- 马上更改受影响账号的密码与认证方式。
- 取消并重新登录相关服务,检查是否有异常登录记录或授权的设备。
- 联系手机运营商,说明怀疑SIM被劫持或有未授权端口变更,请求临时冻结/恢复保护。
- 报警并保留聊天记录、截图和可疑链接,便于调查取证。
- 如果安装了可疑应用,立刻卸载并用安全软件全盘扫描;必要时备份数据后恢复出厂设置。
一句可直接复制给朋友圈的话(转发前发给大家核实) “别急着转,这张截图里可能有可疑二维码或短链。先核实来源和链接安全性,遇要验证码或安装APP的提示不要通过截图里的方式完成验证。”
结尾提醒 朋友圈里信息传播快,危险有时就藏在看起来普通的图片里。遇到带二维码、短链或索要验证码的内容,先停手、核验、再决定是否转发。这样的一步暂停,能挡掉绝大多数短信劫持和相关诈骗的入口。
最新留言