朋友圈刷屏的99tk图库截图，可能暗藏二次跳转钓鱼：先把证据留好

朋友圈最近大量刷屏的“99tk图库”截图，看起来像普通好东西分享：高清图、海量资源、邀请扫码领取……但有安全研究和受害者反馈显示，这类截图背后可能暗藏“二次跳转”钓鱼——先把证据留好，再处理问题。

现象与风险概述

• 常见形式：有人在朋友圈或群里发一张带“99tk图库”水印的截图，并配上短链接或二维码，称扫码/点链接可下载、领取或查看完整图库。
• 二次跳转钓鱼含义：用户最初访问的页面看似正常或中立（第一跳），在用户点击、扫码或等待几秒后页面自动或通过脚本跳转到另一个恶意页面（第二跳），用于骗取登录信息、引导下载带木马的安装包或诱导支付。
• 危害包括账户被盗、手机号被绑定、银行卡/支付信息泄露、手机植入恶意软件，以及受骗转账。

如何快速判断可疑内容

• 链接与域名不一致：截图显示的站点名与实际打开后的域名不匹配。
• 使用短链或重定向服务，真正目标域名隐藏。
• 要求扫码后输入手机号、验证码或社交账号登录，且非官方登录框。
• 页面强制下载APK或提示安装“安全助手/加速器”等第三方工具。
• 有明显的社交工程语句（限时、名额有限、必须先扫码）。
• 来源可疑或只在少数人之间传播，发帖者无法核实真实性。

先把证据留好的具体步骤（普通用户可操作）

1. 不要删除原消息

• 保留朋友圈截图、聊天记录、转发记录，原文件为证据链关键。

1. 用截图保存完整界面

• 把包含发布时间、发送者、配文的整张界面截图下来，尽量包括状态栏时间和网络符号。

1. 记录并保存链接与二维码

• 在浏览器或微信中长按复制链接，把链接粘贴到便签保存；长按二维码另存为图片。

1. 保存访问后的页面截图

• 打开链接后截取地址栏和页面内容（包括跳转前后的每一步），如果出现下载或登录页面也截全图。

1. 导出聊天记录（若对方通过私聊传播）

• 使用微信的“聊天记录迁移/备份”或通过电脑端导出为文件，保留时间戳。

1. 为调查保留原始文件

• 不要对截图或文本做编辑；把所有文件复制到另一台设备或云盘作备份。

1. 记录操作时间与设备信息

• 记录你所用设备型号、操作系统、浏览器以及每一步的时间点，便于后续取证。

进阶用户或做更深入取证

• 使用浏览器开发者工具或抓包工具查看跳转链（包含请求的URL、Referer、跳转次数）。
• 用URL扩展/反短链接工具查看短链真实目标，或在VirusTotal、Google Safe Browsing上查询域名信誉。
• 将可疑文件（APK、页面源代码）上传给安全厂商或专业机构分析。

如果已点击或输入信息，该怎么做

• 立即改变受影响账号的密码，并在其他平台也更改同样密码（若重复使用）。
• 启用双因素认证（手机验证码、Authenticator）。
• 若填写了银行卡或转账信息，联系银行冻结/锁定账号并申报可疑交易。
• 使用手机安全软件或专业机构检测并清理可能的恶意软件；必要时备份重要数据后恢复出厂设置。
• 若有经济损失或个人信息被滥用，向公安机关报案并提供保留的证据。

如何举报与帮忙阻断传播

• 向微信/朋友圈举报该内容（聊天界面或朋友圈条目中均可举报）。
• 向域名或服务器提供商举报恶意站点；将域名提交给Google Safe Browsing、360、安全宝等安全厂商。
• 将证据与时间线整理后提交给公安网安或消费者保护部门，必要时请律师协助固定证据链。
• 在朋友圈或群里说明来龙去脉并提醒关系圈避免传播，转发时附上官方举报链接或核实结果。

日常防护建议（快速清单）

• 不随意点击不熟悉的短链或扫码未知二维码。
• 浏览器和系统保持最新版本，启用安全防护与沙箱机制。
• 使用密码管理器避免重用密码。
• 对涉及转账、敏感信息的操作，通过电话或面对面双重确认来源真实性。
• 教育家人朋友，尤其是父母、长辈识别类似骗局。