朋友圈刷屏的99tk图库app截图，可能暗藏通讯录采集：验证码永远别外发

朋友圈刷屏的那个“99tk图库”截图你看到了吧？别光点开转发——有安全专家怀疑这类所谓图库类APP可能暗藏通讯录采集或其他隐私窃取行为。更要警惕一件事：验证码绝对不能外发。下面把来龙去脉、风险表现、以及具体应对步骤整理清楚，便于直接在Google网站上发布，让更多人知道该怎么办。

为什么一张“截图”会带来风险

• 病毒式传播：漂亮的应用界面或“免费资源”截图在朋友圈快速扩散，很多人基于好奇或信任就去下载安装。
• 隐蔽权限请求：一些APP在安装或首次运行时要求访问通讯录、短信、电话、相册等权限，看似合理但容易被滥用。
• 第三方SDK与后门：恶意或不合规的第三方SDK可能在后台上传联系人或设备信息，用户往往不知情。
• 社交工程配合：窃取到的联系人数据会被用于定向钓鱼或冒充，进一步骗取验证码、转账等。

为什么“验证码绝对不能外发”

• 验证码通常是登录、绑定和交易的临时密钥，获得验证码即可完成账户接管或重置密码。
• 骗子常用的套路：冒充客服/好友请求验证码，或制造“你正在登录/转账”的紧急场景，骗用户把收到的验证码告诉对方。
• 即便对方自称是平台工作人员，也不会要求你把验证码发给他们。任何要求把验证码读出或截图发出的请求都是危险信号。

如何辨别和避免风险APP（安装前）

1. 看来源：优先从官方应用商店下载，避开第三方APK或来历不明的安装包。
2. 查开发者与评价：留意开发者信息、应用安装量、评论是否有大量负评或安全警告。
3. 审查权限：安装或首次运行时仔细看请求的权限——图库类APP要求“通讯录”“短信”“通话记录”就要提高警惕。
4. 谨慎授权辅助功能与悬浮窗：部分恶意程序通过“无障碍服务”或悬浮窗获取敏感操作权限。
5. 不信朋友圈“种草”全凭截图：截图容易伪造，别只看外观决定安装。

安装后发现可疑或已经被感染，立即做这些

1. 立刻卸载该APP。
2. 撤销权限：去系统设置把该APP对通讯录、短信、无障碍、存储等权限全部关闭（Android：设置 > 应用 > 权限；iOS：设置 > 隐私与安全 > 联系人）。
3. 更改重要账号密码并开启更安全的二次验证方式（推荐使用验证码APP或硬件密钥，而不是仅依赖短信）。
4. 如果你曾把验证码告诉过他人，先自行修改被影响的账户密码，并尽快联系银行或平台客服说明情况，采取冻结或临时保护措施。
5. 检查账户登录记录与会话：微信/QQ/邮箱等平台通常能查看设备登录记录，及时踢掉可疑设备并清除登录授权。
6. 运行手机安全扫描：可以使用权威手机安全或反病毒工具检测是否还存在后门或恶意进程。
7. 最后手段：若情况严重且怀疑深度感染，备份重要数据后考虑恢复出厂设置。

如果隐私或金钱已经受损，如何维权

• 把相关聊天记录、支付记录、APP安装记录等保存好，作为证据。
• 联系银行或支付平台申请止付、申诉或冻结交易。
• 向应用商店、平台举报该APP，推动下架和调查。
• 必要时向公安机关报案，提供证据并配合调查。

对微信/朋友圈的具体防护建议

• 朋友圈不要盲目分享或转发带有下载链接或安装指导的截图。
• 在微信“我→设置→隐私”检查“加我方式”“通讯录同步”等设置，关闭不需要的自动同步或通讯录上传选项。
• 告知家人和朋友：验证码绝不外发，任何要求转发验证码的请求都应直接拒绝并与本人电话核实。

常见诈骗话术举例（便于识别）

• “你刚刚申请了XX服务，验证码是XXXX，告诉我验证码帮你完成。”
• “我是安全工作人员，帮你验证身份，把验证码发给我。”
• “我们收到异常登录，请把收到的验证码发来配合处理。”
  任何类似请求都属于高风险。

最后一句话 朋友圈热度高并不代表安全，漂亮的截图可能是引导你走进陷阱的饵。遇到诱导下载安装或要求验证码的陌生请求，停一下，查一查，再决定。验证码是你账户最后一道门槛，绝不能随意交出。