群里流出的避坑清单,我把这种“爆料站”的链路追完了:你以为删了APP就安全,其实账号还在被试;别再给任何验证码
那天看到群里传来一张截图:某平台的账号列表和一列标注“待测”“已测”的注记。底下评论有人在互相交换“测试工具”和手机号。好奇心把我拉进了这条链路:从第一条泄露信息,到所谓“爆料站”的展示,到幕后那些用来验证账号是否可用的手段——整个流程并不复杂,但足够危险。下面把我梳理出来的真相和可立即执行的防护清单整理给你。
我追到的链路(简化说明)
- 泄露源:用户数据(手机号、邮箱、密码的明文或哈希)在某处被抓取或购买,上传到一个“爆料站”或私聊群。
- 批量扫描:攻击者用脚本批量尝试登录或调用“找回/发送验证码”接口,验证哪些账号还活跃。
- 验证方式:
- 请求短信验证码并通过下列方式获回验证码:SIM 换卡(SIM swap)、SS7/SMPP 类漏洞、植入接收短信权限的恶意应用、社工诈骗让用户转发验证码。
- 如果平台有会话 token(长期登录),攻击者也会尝试使用历史 token 或 OAuth 授权来绕过验证码。
- 标记与买卖:测试成功的账号被标注出售;进阶的会话或支付权限会被单独标记高价出售。
- 利用与变现:登录后转移资产、换绑支付手段、进行诈骗/洗钱,或者分解帐号做更大规模攻击。
为什么“删了APP”并不能解决问题 很多人觉得把某个社交/支付/购物类APP从手机删掉,就等于“断了”与平台的联系。事实并非如此:
- 服务器端的会话和授权信息并不会因为你删掉客户端而失效。只要对方有旧的登录凭证或能通过绑定手机号拿到验证码,就能重新登录。
- 手机端的令牌(token)可能已经被备份或转移,或者在其它设备上仍然登录。
- 如果你的手机号已经被劫持(SIM swap),删除APP并不能阻止对方通过“忘记密码”路径重置并重建控制权。
- 恶意应用或权限滥用可能在你删APP之前就已经把短信、通知或屏幕数据转发走了。
验证码为什么不能随便给别人 验证码实际就是“临时密码”。把验证码给任何人,等于是把门钥匙递给他:
- 支持人员或“客服”要求你把验证码发给他们,99%是社工诈骗。
- 微信/短信里有人求你转发验证码,很可能是帮骗子完成登录或转绑操作。
- 一些恶意网页会诱导你把验证码粘贴到他们页面上,从而完成授权。
立刻能做的紧急自救清单(逐条可操作)
- 检查登陆设备与活动
- 打开你主要服务(比如 Google、Apple、支付宝、微信等)的“安全”或“设备活动”页面,查看是否有陌生设备或地点登录,逐一登出并撤销授权。
- 更换密码并使用密码管理器
- 为重要账户设长且独一无二的密码。用密码管理器生成并保存,避免重复使用。
- 关闭或替换短信 2FA
- 将 SMS 2FA 换成基于时间的一次性密码(TOTP,Authenticator app)或更好,使用硬件安全密钥(FIDO2)。
- 给手机卡设置运营商 PIN
- 向运营商申请设置或加强 SIM 卡的安全码,必要时加上“SIM 换卡必须提供额外验证”的限制。
- 扫描并清理手机内可疑应用与权限
- 在 Android 检查有无应用拥有“读取短信”、“获取通知”、“无障碍服务”权限;在 iOS 检查通知和内容访问权限。移除非必要或陌生应用。
- 撤销第三方授权与 OAuth 授权
- 在账户设置中查看已授权的第三方应用,撤销不认识或不再使用的授权。
- 如果怀疑被劫持,联系平台与运营商
- 立刻联系账户所属平台的官方客服,同时联系手机运营商核查是否存在 SIM swap 风险。
- 开启登录提示或安全提醒
- 启用登录通知、异常登录提醒,保证第一时间发现问题。
- 告知你的联系人
- 如果账号被用来骗你的联系人,尽快告知他们不要响应任何来自你账号的金钱请求或验证码请求。
如何判断自己是否在“泄露列表”上
- 出现大量来自陌生设备/地点的登录尝试提醒。
- 收到你没有发起的验证码短信。
- 有人以“官方客服”名义私聊你,要求提供验证码或临时密码。
- 你的账号被标注异常活动(登录限制、密码重置通知等)。
长期防御策略(能极大降低未来风险)
- 彻底迁移到非 SMS 的 2FA(Authenticator apps、硬件密钥)。
- 使用密码管理器并开启主密码的高强度保护。
- 对重要账号单独设定复原联系人或紧急邮箱,避免全盘绑定到一个手机号。
- 定期清理并最小化第三方服务授权和已登录设备。
- 养成不在非官方页面输入验证码、不点击来源不明的登录链接的习惯。
一句话提醒(很直接) 验证码不是帮人验证你的人品,它是控制你账号的临时密钥。任何要求你把验证码发给别人、或把它粘贴到陌生网页上的请求,都当作攻击来对待。
