朋友圈刷屏的99tk截图，可能暗藏短信劫持：不确定就别点

最近朋友圈里一张标着“99tk”的截图开始广泛传播，配文往往写着“领99元/体验礼包/秒到”等诱人字眼。表面看起来是优惠、活动或福利，但背后可能藏着短信劫持（smishing / SMS hijack）等安全风险。遇到这种不明来源的截图和链接，先按下暂停键再行动，下面把来龙去脉和可操作的防护步骤讲清楚，方便你判断和应对。

这类风险怎么发生？

伪装短链或二维码：攻击者把真实目的藏在短链接或二维码里，点开后可能跳转到钓鱼页面、诱导安装APK或触发自动发送短信/请求验证码。
恶意应用滥用权限：安装了带有“读取/接收短信”权限的恶意应用后，应用可以自动读取你收到的验证码并完成绑定或转移资产。
社会工程学手法：页面或聊天里要求“把验证码发给这个号码”或“复制粘贴这里的验证码”，其实是窃取你账户的直接手段。
SIM卡劫持/携号转网（SIM swap）：攻击者通过社会工程或贿赂运营商员工把你的手机号转到别的SIM卡上，从而接收你的验证码和银行验证短信。
恶意的自动拨号或USSD指令：一些短链接或脚本可能尝试触发系统拨号或操作，间接造成账户危害。

遭受短信劫持可能出现的提示信号

突然收到大量你的账户验证码短信（你没操作却频繁有验证码）；
银行/支付被提示异常登录或小额扣款短信；
手机出现陌生应用、频繁弹窗或被要求授予权限；
无法接收到短信、短信延迟或提示手机号已被停用；
登录时提示“验证码已被使用/已被验证”。

遇到可疑“99tk”类截图或链接时应该怎么做

不点、不扫、不安装：来源不明且宣传过于夸张的截图或短链先不要点开，二维码也不要随便扫码。
和来源核实：若截图来自朋友圈熟人，私信对方确认是否本人转发或被盗号；不要在群里直接跟帖转发原链接。
先看网址全称：长按链接或用“打开新标签页显示完整URL”的方式查看真实域名，警惕域名拼写错误、二级域名欺骗或陌生短链服务。
不把验证码告诉任何人：任何主动要求你转发/截图验证码的信息都当作诈骗来处理。
使用更安全的2FA方式：对重要账号（邮箱、支付、社交）优先启用基于应用的令牌（Google Authenticator、Authy 等）或硬件密钥，而不是只靠短信。
限制短信权限与无障碍权限：安装应用时谨慎授权“读取/接收短信、无障碍服务”等敏感权限；不必要的权限及时关闭或撤销。
系统与应用保持更新：更新系统补丁和正规应用可关闭已知漏洞被利用的通道。
使用正规渠道安装软件：App Store/Google Play 官方商店优先，第三方包慎重。

如何检查和撤销可疑权限（常见步骤）

Android：设置 -> 应用 -> 权限管理（或权限）-> 找到“短信/接收短信/读取短信”权限，查看并撤销不必要的授权。检查“无障碍服务”，确认没有陌生应用在启用。
iOS：iOS 不允许第三方应用直接读取短信，但要警惕通过“共享登录信息/转发”等方式泄露。检查“设置 -> 通知”和“已安装应用”的授权即可。
检查已安装应用列表：若发现陌生或近期安装过的可疑应用，卸载并检查其权限记录。

如果怀疑自己已经被劫持或信息泄露，该怎么做（紧急处置）