朋友圈刷屏的99tk图库app截图，可能暗藏浏览器劫持：验证码永远别外发

朋友圈最近刷屏的“99tk图库”APP截图可能不是单纯分享美图——背后可能暗藏浏览器劫持和社工陷阱，提醒一句：任何验证码绝对不要转发给他人。

什么情况会发生

• 你看到朋友分享的图／页面截图，点进去后是一个看似正常的图库或下载页，实际上页面内嵌了诱导下载、伪造登录或短信验证码验证的脚本。
• 某些恶意页面会通过链接或二维码诱导你安装来自非官方渠道的APK，或者请求高危权限（如“无障碍服务”），一旦授权，攻击者就能读取通知、模拟操作、拦截验证码或完成账户绑定。
• 社工常见套路：先制造紧急场景（如“你的账号需要验证”），引导用户把手机收到的验证码发给对方，凭此完成账号转移或提取资金。

为什么验证码不能外发

• 短信/推送验证码是账户二次验证的关键，任何知道该验证码的人都可能在短时间内完成登录、绑定或转移操作。
• 一次性验证码几分钟内有效，攻击者利用紧迫感让受害者直接把码发出，成功率非常高。

如何判断自己是否遇到劫持或钓鱼页面

• 页面URL可疑、不属于常见域名或有大量重定向。
• 浏览器弹窗不断，要求安装APP或启用“无障碍/辅助功能”权限。
• 手机突然出现陌生应用，或出现大量广告和跳转。
• 登录后频繁收到陌生短信/验证码、账户出现异常登录记录。

如果不小心转发了验证码，立即这样做

• 立即修改对应账户密码，并改用不同于其他服务的新密码。
• 立刻在对应服务中查看并终止所有已登录设备或会话（如微信→设置→账号与安全→登录设备管理）。
• 启用更强的二次验证方式（应用验证码器/硬件令牌）并取消短信作为唯一二步验证手段。
• 若涉及资金（银行、支付工具），马上联系银行/支付平台客服挂失并申报异常交易。
• 必要时向当地警方报案并保留聊天记录、转账凭证等证据。

清理与预防建议（手机用户）

• 不要从朋友圈或陌生链接安装APK，应用只通过官方应用商店或官网下载。
• 谨慎授权高危权限，尤其是“无障碍服务”、读取短信、获取通知权限；非必要应用不要授予。
• 定期在设置里检查已安装应用与权限，删除可疑程序；查看流量/电量异常应用。
• 为重要账户启用基于APP的验证（如Google Authenticator、支付宝/微信安全锁）或绑定硬件安全密钥。
• 安装口碑良好的安全软件定期扫描，但不要过度依赖安全软件作唯一防线。
• 教育亲友：收到涉及验证码、密码或转账要求的私信，先电话核实对方身份，不要直接回复或转发。

如何在朋友圈/群里提醒他人（范例）

• “刚看到有人在发99tk图库截图，别随便点下载或发验证码！任何收到的验证码不要转给别人，遇到可疑链接先问清楚来源。”

结语 这类看起来无害的截图和链接往往被用作诱饵，目的是拿到短时间内极其有价值的验证码或权限。保护账户安全并不复杂——别轻易安装来历不明的应用、别授予敏感权限、验证码永远不外发。把这条提醒转给身边的人，能避免很多麻烦。