有人私信我99tk图库下载链接，我追到源头发现落地页背后是多层跳转：验证码永远别外发

有人私信我 99tk 图库的下载链接。我点开后一路追溯源头，发现落地页背后有多层跳转、隐藏的 iframe、以及直接要求把手机收到的验证码“粘贴回来”的弹窗。过程看似“为了验证下载资格”，本质是典型的验证码诈骗 — 验证码永远别外发。

我怎么追踪出来的（实操笔记）

• 私信里是个短链，先用长链预览服务把它还原，发现第一跳是一个看似正常的中转域名（类似 free-download.xyz）。
• 继续打开会被多次重定向：meta refresh、脚本 location.replace、再嵌入一个第三方域的 iframe。每层跳转都试图掩盖来源并绕过浏览器的安全提示。
• 最终落地页弹出一个“请输入手机验证码以继续下载”的对话框，或者让你在聊天窗口粘贴验证码。页面看起来专业，但域名与服务不符，HTTPS 证书信息也很可疑（比如证书颁发给另一个域名）。
• 进一步检查请求可以看到，这个“验证码”会被 POST 到一个完全不相关的服务器，和你实际接收验证码的服务方没有任何关联。

他们为什么要验证码

• 直接目的：用你收到的一次性验证码完成某些操作（比如把你的手机号/邮箱绑定到他们的账户，或者用验证码完成登录或重置密码），从而接管账户或完成欺诈交易。
• 间接目的：绕过验证码机制进行大规模自动化操作，或将收集到的号码与其他数据组合出售。
• 一旦你把验证码发出，攻击者往往能在很短的时间内利用它完成权限提升或转移资产。

如何快速辨别钓鱼/验证码诈骗

• 链接域名与官方不符（比如要你去“99tk图库”却不是 99tk 的官网域名）。
• 页面通过多层跳转隐藏真实来源。
• 弹窗急促要求“马上输入/粘贴验证码”，并提供“下载/解锁”诱因。
• 页面要你把验证码通过私信/聊天粘贴发回（正规服务不会让你把验证码发给别人）。
• HTTPS 锁头看起来正常，但证书信息显示的主体与页面品牌不一致。

如果你还没发验证码，应该怎么做（立即行动）

1. 立刻关闭该网页与聊天窗口，不要再互动。
2. 在手机上不允许页面发送短信权限，也别在网页里输入手机号或验证码。
3. 用官方渠道访问该服务的官网或 app，确认账号与设置是否正常。

如果已经发了验证码，优先级最高的补救步骤

1. 立刻在受影响的账号上修改密码，并在所有设备上退出登录（多数平台能在安全设置中查看并强制下线所有会话）。
2. 取消并重新设置两步验证方式：优先使用基于 app 的认证器（Google Authenticator、Authy 等）或硬件密钥，而非仅依赖短信。
3. 检查账户的绑定信息（邮箱、手机号、支付方式），如有被更改立即恢复并通知平台客服。
4. 若涉及支付或银行卡信息，立刻联系银行冻结相关卡或监控交易异常。
5. 保存证据（聊天记录、链接、截图），按需向平台举报并向当地警方报案。

防护工具和习惯（长期）

• 对短链先用“展开/预览”工具再点开，或在沙盒/无痕窗口里打开并观察真实跳转链。
• 浏览器启用反钓鱼防护、脚本阻止插件（比如 uBlock Origin）和跳转阻止扩展。
• 使用密码管理器生成并存储强密码，避免重复使用密码，减少被接管后的连锁损失。
• 把关键服务的两步验证从短信升级到认证器或物理二次验证器。
• 定期查看账号活动、授权的第三方应用和登录设备。

结语 — 一个简单但常被忽视的规则 收到要求“把手机验证码发给我”时，无论对方理由多充分，都不要发。验证码的设计目的就是证明你本人在场——把它发出，就把“在场”这一把钥匙交给了别人。把这条规则告诉家人朋友，尤其是爸妈和不太熟悉网络风险的亲属，能避免很多损失。

随手一个小清单（方便复制）：

• 不发验证码给别人；不把验证码粘贴回聊天窗口。
• 遇到短链先展开预览，查看真实域名。
• 已发验证码：改密码、注销会话、联系平台/银行、保存证据并报案。
• 启用认证器或硬件密钥替代短信二次验证。