如果你刚点了那种“爆料链接”,先停一下:这种“爆料站”偷走你的验证码;我把自救步骤写清楚了
你可能在朋友圈、社群或微博上看到一个“重磅爆料”“独家内幕”的链接,点进去后页面让你输入手机收到的验证码来“解锁全文”或“确认身份”。很多人一惯信任,直接把验证码填写上去——这正是骗子的套路:他们通过假页面引导你把一次性验证码(OTP)交出来,然后用它登录你的账号、转账或篡改绑定信息。
先解释几个常见手法
- 假登录/假授权页:页面模仿真实网站,要求输入验证码或登录凭证。
- 社工诱导:以“解锁爆料”“领取举报奖金”“验证读者资格”等理由骗你配合。
- 恶意短链接/脚本:链接会在后台发起请求,窃取Cookies或触发短信转发。
- SIM交换/运营商社工:更高级的会尝试替换你的手机号到别张SIM卡上,配合验证码就能接管账户。
如果你只是点了链接但没输入验证码 1) 关闭页面、清除浏览器标签页。 2) 不要再刷新或重新打开该链接。 3) 在手机与电脑上运行一次安全扫描(例如知名杀毒软件或手机安全应用),排查恶意程序或未知应用。 4) 更改常用网站与邮箱的重要密码(选择强密码,使用密码管理器)。 5) 开启并优先使用应用型或物理型二步验证(见下文)。
如果你已经把验证码输进去(紧急自救清单) 1) 立刻修改受影响账号的密码,且不要使用相同密码。 2) 进入该账号的“登录与安全”设置,强制退出所有登录会话(Sign out from all devices/Remove all sessions)。 3) 取消并重新绑定所有二步验证设备与备份码,移除任何陌生的授权应用或第三方权限。 4) 如果是邮箱被验证,优先保护邮箱,因为很多服务用邮箱重置密码。 5) 联系银行或支付平台,告知可能存在未授权访问,必要时临时冻结账户或交易。 6) 联系手机运营商,说明怀疑SIM被劫持,要求设置SIM卡转移保护(SIM lock)或临时阻止SIM换卡。 7) 若怀疑手机已被植入木马,备份重要数据后重置出厂设置;对电脑而言,建议运行深度杀毒或重装系统。 8) 检查近30天内的交易、邮件发送记录、社交私信等异常活动,及时通知联系人不要打开可疑链接来自你账号的消息。
如何判别“爆料站”及防范建议
- 不要把一次性验证码发给任何要求“贴到网页上”或“转发给XX”的页面。正规服务不会要求你把验证码粘贴到第三方页面。
- 检查URL:是否是奇怪的域名、拼写错误或使用子域名掩盖真实域;留意https锁并非万能保障。
- 不轻易点击短链接,先用链接展开工具或在搜索引擎中找原始来源。
- 优先使用认证器APP(Google Authenticator、Authy)或硬件安全密钥(YubiKey 等)替代短信验证码。短信验证码容易被拦截或被SIM交换攻破。
- 密码管理器不仅能生成复杂密码,很多还能识别假登陆页面并阻止自动填写。
- 为重要账号设置恢复邮箱和紧急联系人,保留纸质或离线备份的二步验证备份码。
- 在社交平台上保持警惕:任何声称“只需一条验证码就能解锁”的要求,都当作危险信号处理。
遇到账号被夺或资金被盗的后续步骤
- 报警并保留证据:聊天记录、交易流水、被点开的链接截图。
- 向平台提交账号被盗报告(如Google、Facebook、支付宝、微信等都有专门的申诉通道),配合提供身份验证材料。
- 联系银行发卡行,申请交易争议/退款渠道。
- 若涉及个人隐私泄露,评估是否需要通知亲友或公共声明,阻止进一步社工攻击。
最后的快速核查清单(点了链接后立刻做)
- 有没有把验证码输进去?(是:按“已输入验证码”流程;否:按“未输入验证码”流程)
- 立刻改密码、强制登出会话。
- 检查并重设二步验证(优先用认证器或物理密钥)。
- 运行安全扫描,删除可疑应用。
- 联系银行与运营商必要时临时冻结或设置保护。
