最近我发现不少 Telegram 群组里开始流传那种“官方安全升级”的链接,点进去一看,居然是个做得几乎一模一样的钓鱼网页。Telegram 本身不会通过第三方网页让你输入私钥或者验证码,只要你稍微留意几个细节,就能躲开这些想盗你号的黑手。
检查 Bot 的真实来源,别被“认证蓝勾”骗了
很多钓鱼账号会给自己改名叫“Telegram Support”或者“Security Alert”,甚至还通过一些手段给自己加上了虚假的认证标识。其实,识别真假官方账号最简单的方法就是看 Bot 的头像旁边有没有官方认证标志(Verified Badge)。
即使看起来像真的,你也要养成这个习惯:点击对方的用户名,查看它是否有关联的官方域名。真正的官方服务通常只会通过 App 内置的弹窗提醒,而不是甩给你一个可疑的短链接。如果你收到的消息让你点开外部网站输入账号密码,那就是 100% 的钓鱼。你可以试着把这个 Bot 的用户名在 Telegram 的搜索栏里查一下,如果是假的,通常你找不到那个带蓝勾的官方频道。
警惕那种“要求验证身份”的外部链接
骗子最常用的手段是恐吓。比如告诉你“如果不点击链接,你的账户将在 24 小时内被永久封禁”。一旦你点进链接,看到的界面通常长这样:一个让你输入电话号码,接着要求你输入收到的登录验证码。请记住,任何让你在网页端输入 Telegram 验证码的行为,都是在通过你之手把账号送给黑客。
我有个朋友前两天差点中招,就是因为对方伪装成了群管,说因为群内违规要核实身份。如果你真的不确定某个链接的真伪,可以把它复制下来,扔到一些在线 URL 扫描工具(比如 VirusTotal)里检测一下。如果网站域名看起来很乱,或者跟 t.me 这种官方域名相差甚远,千万别手滑去点。
开启双重验证,这是你的最后一道防线
光靠肉眼识别有时候也会走眼,最好的补救办法就是设好两步验证(Two-Step Verification)。在设置里找到“隐私和安全”,开启这个功能并设置一个只有你知道的密码。这样即使骗子骗到了你的验证码,他们也没法登录你的账号,因为他们过不去这道“密码墙”。
- 进入 Settings > Privacy and Security。
- 点击 Two-Step Verification,设置一个强密码。
- 切记设置一个可用的恢复邮箱,万一忘了密码还能找回。
总之,在 Telegram 上看到任何让你感到“急迫”的消息,先停下来深呼吸五秒钟。官方客服永远不会主动私聊你索要验证码,更不会让你去什么第三方网站“同步数据”。只要守住验证码不外泄,不乱点乱七八糟的陌生链接,你的账号就很难出问题。