朋友圈刷屏的99tk澳门截图，可能暗藏浏览器劫持：验证码永远别外发

朋友圈里最近被“99tk澳门”的截图刷屏？别随手转发，也别把验证码给别人看——这些看似无害的截图和链接，可能是浏览器劫持与社工诈骗的前奏。下面把风险、识别方法、应对步骤和长期防护，一条条说清楚，方便你马上采取行动并提醒身边人。

问题在哪里

截图和短链常被用作引流：把人从微信/朋友圈引到外部网页或小程序，页面可能伪装成登录、领奖、注册等，诱导输入手机号、验证码或安装插件。
浏览器劫持的常见手法包括恶意扩展、伪造登录页面、通过脚本篡改剪贴板、以及借助欺骗性权限修改首页或劫持会话。一旦你把一次性验证码（短信或APP）告诉对方，很多账户保护机制就被绕过了。
“验证码永远别外发”不是杞人忧天：攻击者常用社工手段（冒充客服、朋友、平台活动）索取验证码，以此登录、转账或修改账户信息。

如何识别可疑截图和链接

链接域名可疑：短域名、拼写错误、子域名层级过多（比如 xxx.99tk-activity.com），或非官方域名。
页面与官方风格不符：字体、排版、客服联系方式、隐私条款等有异常或无法查看真实证书。
要求安装浏览器插件或App才能领奖、解锁功能，尤其是要求开启开发者模式或授予高权限。
让你先输入手机验证码，或让你把验证码贴到聊天窗口里。正当平台不会要求把验证码发给别人。

如果你点进去了，或已经把验证码发出去了，马上这样做 1) 立刻断开可能的连接：关闭相关网页，结束所有可疑的浏览器标签；如果怀疑有恶意程序安装，断开网络并重启设备到安全状态。 2) 变更关键密码：先改被怀疑受影响的账户密码（比如微信、邮箱、银行、支付宝），优先修改与该手机号或邮箱关联的账户。 3) 撤销会话与登录授权：在微信/邮箱/社交平台的账号管理里，登出其他设备，撤销第三方应用授权。 4) 取消或重置验证码绑定：如果验证码是发到你手机的短信，联系相应平台（银行、支付）告知可能被窃取，配合冻结或限制转账权限；必要时更换短信接收方式或绑定新的手机号。 5) 扫毒与清理：用正规杀毒软件扫描电脑与手机，检查浏览器扩展，删除不认识或不必要的扩展；清除浏览器缓存、Cookie 和历史记录。 6) 联系官方客服报案：对方若已用验证码登录并进行操作，按平台流程申诉、冻结账户并保留证据（聊天记录、截图、交易记录）。

长期防护清单（把这些习惯变成常规）