朋友圈刷屏的99tk截图，可能暗藏浏览器劫持：域名、证书、签名先核对

朋友圈被刷屏的“99tk”截图火了，但其中可能隐藏着浏览器劫持或钓鱼陷阱：先核对域名、证书和签名再动手。下面是一篇可直接发布在你网站上的实用指南，帮读者分辨风险、排查并清理常见问题。

标题：朋友圈刷屏的99tk截图，可能暗藏浏览器劫持：域名、证书、签名先核对

导语 近来一批带有短链或缩略域名的“99tk”截图在朋友圈传播，很多人用手机点开之后出现过度跳转、页面拉取权限或被诱导安装扩展/应用。单看截图容易放松警惕，实际应先做三项核验：域名（Domain）、证书（Certificate）和签名（Signature）。下面按步骤讲清怎么核查和应对。

一、先识别可疑域名：常见伪装手法

• 同形字符（homograph）攻击：用俄文、希腊文或偏门字符替换英文字符（例如用а代替a），视觉上几乎相同但域名不同。浏览器地址栏可选显示punycode（xn--开头）。
• 子域名混淆：攻击者用 legit.example.com.bad.site 的形式让人以为是 legit.example.com。
• 短链与重定向：短链先把流量带到第三方，再多次跳转到最终页面，增加追踪与隐藏恶意逻辑的机会。
• 仿冒顶级域名：如 .site/.top/.tk 等非常规后缀更容易被滥用。

核查方法： 1) 直接把鼠标（或长按地址栏）查看完整URL，注意是否有奇怪字符或长串路径。 2) 在浏览器地址栏把域名复制到纯文本查看，或在终端用 punycode 工具转换以发现隐藏字符。 3) 使用 whois、dig 或 nslookup 查询域名注册信息与解析记录，查看是否与官方信息不符。

二、证书核验：HTTPS并不等于安全 很多人看到锁图标就放松，但HTTPS保证的是传输加密和证书链可信，并不自动意味页面无恶意。

如何查看证书：

• 桌面浏览器：点击地址栏的锁图标 -> 证书或“连接安全” -> 查看证书详情（颁发机构、有效期、主题名/SAN）。
• 命令行（示例）： openssl s_client -servername example.com -connect example.com:443 -showcerts openssl x509 -in cert.pem -noout -fingerprint -sha256 要核对的点：
• 证书颁发机构是否为主流可信CA（非内部自签或不明CA）。
• Subject 或 SAN（Subject Alternative Name）里是否包含你要访问的域名（注意子域差异）。
• 证书有效期是否过期或刚刚签发（异常短期证书可能为钓鱼网站动态签发）。
• 比对证书指纹（SHA256）是否与公示或信任来源一致。可在 crt.sh 等证书透明日志查询历史。

三、签名核验：扩展、安装包和可执行文件 “签名”既指网页内插件/扩展的发布信息，也指下载文件或APP的数字签名。被篡改或未签名的软件更可能携带恶意代码。

检查浏览器扩展：

• Chrome/Edge：进入扩展管理页面，检查来源（是否来自官方商店）、开发者名和评论评分；若扩展要求过多权限或突然出现应立即移除。
• Firefox：优先通过addons.mozilla.org安装，手工安装的扩展更危险。

检查安装包/可执行文件签名：

• Windows：右键文件 -> 属性 -> 数字签名；或用 signtool verify /pa file.exe。
• macOS：在终端用 codesign -dv --verbose=4 /path/to/app 查看签名信息。
• Android APK：使用 apksigner verify --print-certs app.apk 检查签名证书。

四、如果怀疑被劫持或已中招，逐步自查与清理 1) 断网（可先切断Wi-Fi或移动数据）以阻止进一步下载或远程控制。 2) 清理浏览器：

• 关闭并删除可疑扩展，恢复默认设置或重置浏览器。
• 清除缓存、Cookie、网站数据和自动填充信息。 3) 扫描与清理恶意软件：
• Windows：使用 Windows Defender 全面扫描，或使用第三方安全软件（如 Malwarebytes）进行深度扫描。
• macOS/Android：用官方或口碑良好的安全工具检查并卸载可疑应用。 4) 检查系统代理与 hosts 文件：
• Windows hosts 位于 C:\Windows\System32\drivers\etc\hosts；macOS/Linux 在 /etc/hosts，检查是否有可疑项将域名指向恶意IP。
• 浏览器或系统代理设置若被改动需恢复为自动或禁用代理。 5) 刷新DNS缓存并确认DNS服务器：
• Windows: ipconfig /flushdns
• macOS: sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
• 检查路由器 DNS 设置，若被篡改需登录路由器界面重置并更新固件与管理员密码。 6) 若安装了未知可执行文件或APP，先断网并上传样本到 VirusTotal 检测，再根据检测结果采取下一步（隔离/卸载/系统还原）。

五、辅助工具与查询站

• crt.sh（证书透明日志查询）：查某域名历史证书。
• VirusTotal、Hybrid Analysis：文件、URL多引擎检测。
• urlscan.io：页面行为与资源抓取分析。
• whois、dig、nslookup：域名和DNS信息查询。
• 浏览器自带开发者工具（Network/Console）查看实际请求与重定向链。

六、给普通用户的简易核查清单（30秒版）

• 不要直接点可疑短链，先长按复制查看真实URL。
• 地址栏检查是否有锁和正确域名（小心同形字符）。
• 遇到要求安装扩展或APP才可查看内容时先停手，先核对来源和签名。
• 有感染嫌疑就先断网、卸载可疑扩展/APP、执行全盘扫描，并检查路由器与hosts。

结语 朋友圈传播的信息速度快，但安全检查三步走（域名、证书、签名）能大幅降低中招风险。遇到“看一眼就能赚钱/领取礼品/查看隐秘内容”等诱导性描述时，优先怀疑并核验。必要时把可疑网址或样本发到 VirusTotal、crt.sh 等第三方平台求证，避免无意间把危险继续传播给更多朋友。