说句难听的：99tk香港最坑的往往不是内容，是二次跳转钓鱼：先把证据留好

说句难听的：99tk香港最坑的往往不是内容，是二次跳转钓鱼：先把证据留好

近来不少人在网上分享，访问短链接或跳转链时遇到的问题并非原始页面本身，而是“二次跳转”后出现的钓鱼页面或恶意下载。以99tk香港这类短链接/跳转服务为例，真正伤人的往往不是最初那条信息，而是背后复杂的跳转链和中间环节被利用的情况。遇到可疑跳转，先不要慌，第一件事是把证据留好——这往往能决定后续能不能把问题查清、把损失追回或让平台下线恶意链接。

什么是“二次跳转钓鱼”？

• 简单来说：用户点开一个短链接 → 被重定向到多个中间页面（有时隐藏）→ 最终落到一个伪装成登录、支付或下载页面的钓鱼网站，诱导用户输入凭证或付款信息。
• 这些中间环节会掩盖真实来源、伪造来源页、插入恶意脚本、或诱导弹出付费/订阅窗口。
• 因为初始内容看起来“正常”，用户往往放松警惕；而真正危险的环节发生在用户看不到或无法轻易追踪的重定向链上。

遇到可疑跳转时该怎么做（实操步骤） 1) 先别输入任何信息，先截图

• 对当前屏幕做多张截图，覆盖地址栏、页面整体、可见弹窗、以及任何含有时间或交易信息的部分。
• 用手机和电脑分别截图能形成双重证据（手机拍照也有用，展示你在特定时间看到的页面）。

2) 记录完整的链接与跳转链

• 在不继续点击的前提下复制原始短链接（99tk或其他）。
• 使用在线“URL expand”工具或在浏览器打开开发者工具（F12）-> Network，观察实际的跳转链和最终目标域名。把跳转链完整复制或导出为 HAR 文件（Network → Save HAR）。
• 可以用 curl 跟踪跳转：curl -I -L -v "短链接"（将显示每一跳的 Location 头）。

3) 保存网页源码与证据快照

• 在浏览器中另存为完整网页（MHTML 或 HTML + 资源），或使用“打印为 PDF”保存当前页面（包含时间戳）。
• 导出浏览器网络日志（HAR），保存到本地并备份。

4) 收集网络与域名信息

• 查询目标域名的 WHOIS 信息和域名注册时间（whois 域名）。
• 用 nslookup / dig 查询域名的 DNS 解析记录，记录 IP 与托管商。
• 用在线服务（VirusTotal、URLscan.io、Google Safe Browsing）检查该 URL 的安全报告与历史快照。

5) 抓包与更进一步的技术证据（可选）

• 如果你懂一点网络技术，可在访问时运行 Wireshark 捕获流量，或使用浏览器记录所有请求（HAR）。这些可以显示到底请求被发往哪个服务器，甚至证书信息。
• 检查 TLS/SSL 证书是否匹配（浏览器地址栏点击锁图标查看证书详情）。

6) 保存沟通与交易记录

• 若页面要求付款或有短信/电邮通知，请保留所有相关短信、电邮、支付截图、交易流水或银行通知。

7) 立即断开并通知相关方

• 若已输入密码或银行卡信息，立即修改被暴露的密码、启用多因素验证，并联系银行冻结或监控相关卡片。
• 如怀疑账号被盗，尽快通知平台客服并上传证据请求锁定/恢复。

向谁举报、如何举报

• 向你的银行或信用卡公司报备并申请拦截/追踪可疑交易。
• 向平台（如 Google、Facebook、WhatsApp 等）提交恶意链接举报，附上你保存的跳转链与截图。
• 在香港，可向警方报案并提交电子证据；若需要，也可向相关监管或网络安全机构反映。提供尽可能详细的跳转链与时间戳会提升受理效率。
• 向安全社区提交样本（VirusTotal、URLscan、PhishTank），让更多安全厂商把该链接标记为恶意。

提交举报时的要点（模板思路）

• 时间：第一次被重定向的精确时间（含时区）。
• 原始链接：完整短链接文本。
• 跳转链：从短链接到最终页面的每一步 URL（可以附 HAR 文件或 curl 输出）。
• 截图与保存文件：包含页面截图、PDF、HAR 与任何交易凭证。
• 你采取的临时措施：是否修改密码、联系银行等。

如何在日常避免被二次跳转钓鱼

• 不随意在陌生短链接中输入凭证或银行卡信息。短链接看起来可信并不代表安全。
• 在移动端尽量开启链接预览或先在桌面通过 URL expand/scan 服务查看最终目标。
• 使用密码管理器：当页面不是预期域名时，密码管理器不会自动填充，这能作为警示。
• 启用双因素认证与短信/电邮交易提醒。
• 对于需要敏感操作（登录、支付），直接在浏览器手动输入或使用书签打开可信域名，避免通过第三方跳转进入。