分享
社交账号冒充威胁报告

克隆好友账号诈骗 2026:当共同好友也是假的那一天

一个已经是你好友的人,又给你发来一条新账号的好友申请,这本身就够可疑了。真正让人放松警惕的,是申请下面那一排共同好友。几乎没有人会去想:这些共同好友,本身会不会也是假的。

SafeBrowz 团队 安全研究2026年6月7日12 分钟阅读

三句话看懂

骗子先复制一个真人的账号,再顺手复制这个人的好几个好友,把这些假号互相加成好友,于是克隆号的主页上就会出现你认识的「共同好友」,可这份信任其实有一半是伪造出来的。下面的故事里,林晚就因为对方和自己有几个共同好友而通过了一个克隆号,后来才发现其中两个共同好友是同一伙人控制的假账号。能救你的那条规则很简单:共同好友的数量不能证明身份。如果一个已经是你好友的人发来新账号请求,然后开口借钱、发投资或让你念验证码,先停下来,换一个渠道核实,再做任何事。

第二条好友申请

林晚三十二岁,在深圳一家设计公司做主管。她平时上网算谨慎,用密码管理器,邮箱开了两步验证,看到长辈在家庭群里转发的「您的账号已被盗」那种链接还会翻个白眼。那一周如果你问她,她会说自己绝不会被冒充骗到。

周四早上她端着咖啡打开微信,看到一条好友申请,名字是陈宇,大学室友,毕业后去了杭州,现在一年也就生日时互相发条消息的那种关系。林晚愣了半秒:我们不是早就是好友了吗。紧接着第二个念头浮上来,而这正是骗子要的:陈宇大概是换了新号吧。这种事谁没遇到过,手机丢了、被盗了、忘了密码重新注册,太正常了。

对方的资料看上去完全没问题。头像是陈宇在海边大笑那张,朋友圈封面也一样,连那句关于狗和烂综艺的个性签名都照搬了过来。而下面,让她彻底放心的,是那几个共同好友。她扫了一眼:老同学小敏、宿舍另外两个女生、陈宇婚礼上那个男生。全是她真认识的人。

她通过了。

消息二十分钟后到了。

「在吗在吗,好久没联系了。问你个事,你知道小敏最近搞的那个数字货币吗,我投了几千块现在已经翻到一万多了,真的有点慌」

林晚回了句「哈哈不知道啊,什么东西」。她心里其实有点好奇,小敏确实是那种会去碰这类东西的人。

「我把那个理财老师的微信发你,他很靠谱,我的就是他帮我弄的。不过先帮我个忙,我在新手机上重新登录,因为我俩都在他那个群里,系统会误发一个 6 位验证码到你手机上,你收到念给我一下就行,两秒钟的事」

就是这里。话锋一转。

一分钟后,一条短信真的来了,是一个 6 位验证码。短信开头写得清清楚楚:这是林晚本人微信的登录验证码。

林晚盯着屏幕。有点不对劲。一个理财老师为什么需要发到她手机上的验证码。陈宇登录新号又为什么会给林晚发短信。那些被她翻白眼的家庭群链接看多了,她至少知道一件事:「把验证码念给我」从来都不是好事。

她没念。她把这部手机放下,拿起另一部,翻出通讯录里那个存了九年的陈宇号码,直接打了过去。

陈宇响到第三声接了,一头雾水:「什么新号?我没加过谁啊。晚晚,我是不是被人盗号克隆了,我表妹今天早上也跟我说了一样的事。」

林晚跟他说起那几个共同好友。陈宇沉默了一下:「等下,是哪几个。」林晚把名字念出来。陈宇在其中两个上面停住了:「小敏那个是真的小敏。但宿舍那两个女生,我好几年前就把她们删了。那不是她们。那两个肯定也是假的。」

让林晚安心点下「通过」的那几个共同好友,并不都是真人。其中两个,是同一个骗子控制的克隆号,专门蹲在好友列表里,就为了让那个数字看起来对得上。

林晚差点交出去的是什么

是她自己的微信账号。不是陈宇的。

「系统会误发一个验证码,你念给我」这句话,是社交和即时通讯软件上最常见的盗号套路之一。骗子打开微信、Facebook 或 WhatsApp 的登录界面,输入的是林晚的手机号。平台于是把验证码发到林晚真实的手机上,因为登录验证码本来就是这么走的。然后骗子顶着陈宇的脸,让林晚把这个码念出来。只要林晚一念,骗子就在登录界面填进去,林晚自己的账号就被接管了。这套机制我们在为什么短信验证码不如 TOTP 安全里拆得更细。

而一旦林晚的账号丢了,这伙人就多了一个真实、可信、有人脉的新账号可以拿去克隆、拿去发消息。林晚会变成下一个别人眼里的「陈宇」,出现在别人某条好友申请下面的共同好友里。这就是这张网生长的方式。每成功接管一个账号,就喂出下一轮克隆,所以这种团伙会像墨水一样在一个朋友圈子里散开。

投资话术和验证码请求其实是可以随时替换的「弹药」。有些克隆号跳过验证码,直接来一句急事:「我手机被偷了,先借我 500,今晚就还你」。有些发一条「点击领取红包」的假活动链接。克隆号本身只是那辆送货车,车上装什么,看那天骗子想要什么。

克隆工厂是怎么运转的

大多数人想错的地方,是把它想成一个假账号。它很少是一个账号,而是一个小团伙,刻意搭出来的。

  • 先扒目标的资料。骗子找一个资料半公开的真人:朋友圈或主页公开、头像公开、相册公开。这些东西几分钟内右键加截图就能全部复制走。
  • 克隆这个人,再克隆他的好几个好友。这一步是所有人都会漏掉的。骗子不只复制陈宇,还会复制陈宇的三四个好友,用同样的名字和头像建出一批假号。
  • 把这些假号互相加成好友。假陈宇去加假的那几个宿舍女生。现在假陈宇是真的「有」这几个假好友了,于是你点进他主页时,「共同好友」那一栏显示的全是你认识的人,只不过其中几个是骗子自己的傀儡。
  • 向真实好友列表批量发申请。假陈宇向陈宇真正的好友逐一发申请,你也在其中。你们的共同好友被点亮,这份被制造出来的信任替骗子完成了说服。
  • 利用信任,再投放弹药。你一通过,消息就来了:借钱、验证码、链接、投资。脸对得上,共同好友对得上,紧迫感压上来,一句「他大概换新号了」就把剩下的疑点抹平了。

记住一句话:骗子伪造的不是一个好友,而是你社交关系网里的一小块。

为什么假共同好友能骗到谨慎的人

林晚并不傻。她栽在「通过好友申请」这一步,不是栽在「转账」那一步,而且是被一个数字骗了。下面是这套伪造社交背书为什么这么有效。

  • 我们把共同好友数量当成一种验证。几个共同好友,感觉就像几个互相独立的人在替这个账号担保。其实不是。其中几个,可能就是建这个克隆号的同一个人在控制。
  • 「换了新号」这个理由太合理了。真人确实会丢手机、被盗号、重新注册。正是这个真实又常见的经历,让那条重复的好友申请显得可信,而不是警报。
  • 脸和细节完全对得上。同样的名字、同样的头像、同样的签名。视觉上找不出任何破绽,因为它就是一份对真账号的忠实复制。
  • 请求是搭着已有的信任来的。来找你的不是陌生人,而是一个顶着你认识多年的人的身份。这个请求拿到的,是陌生人永远拿不到的那份信任。
  • 紧迫感封住了缺口。「验证码马上就到」「这个名额今天截止」「我现在很急今晚就要」。制造速度,就是为了不让你去做那件能拆穿整个骗局的事:换个渠道核实。

各地的真实数据怎么说

账号克隆和冒充并不是边缘现象。中国大陆、香港、台湾的官方数据,都把社交平台上的冒充诈骗放在了问题的中心。

  • 中国大陆,公安部与国家反诈中心:冒充熟人、冒充客服一直是高发电诈类型,官方反复提示「陌生链接不点、验证码不念、转账先核实」。全国反诈专线为 96110,报警拨 110。
  • 香港,警务处「防骗易 18222」与「守网者」平台:持续公布社交媒体冒充及网恋投资骗案数字,2024 至 2025 年网上骗案损失维持高位,提醒市民收到亲友突然借钱或谈投资时务必另行核实。
  • 台湾,刑事警察局「165 反詐騙專線」:假冒亲友、解除分期付款、投资群组长期占据诈骗举报榜前列,官方建议「一聽二掛三查證」,可拨 165 求证。
  • 平台官方指引:微信、LINE、Facebook 都提供了在账号资料页内直接举报冒充的入口,并建议收紧好友列表与主页的可见范围,降低被克隆和被扒资料的风险。
  • 跨境团伙特征:多家亚太执法机构指出,被盗的真实账号常被立刻拿去攻击受害者本人的联系人,形成滚雪球式扩散。

有一个判断值得记住:对于很多在社交平台上中招的受害者,那条好友申请不是侧门,而是正门。

🛡 实时检测

现在就测一下可疑链接

如果克隆账号给你发来一条「领取红包」链接、一个投资平台或一个登录页面,先别打开。粘贴到这里。我们的 3 层引擎(本地 + API + AI)大约 3 秒返回结果。免费,无需注册。

使用深度 AI 分析做完整扫描 → · 不会把任何链接与你的身份关联记录。

应该让你停手的几个危险信号

单独一个信号不能证明是克隆号。组合起来才是真正的破绽,其中最强的那个排在最前面。

  • 一个已经是你好友的人,又发来一条新的好友申请。这是最响的警报。如果你已经加了陈宇,而「陈宇」又发来一条全新申请,在核实之前一律当成克隆号。
  • 一个只有头像和封面、没有任何真实历史的全新账号。点进主页看。没有旧的朋友圈或动态、没有被标记的合照、没有几年前的留言,只有两张图和一面空墙,那几乎可以肯定是新建的假号。
  • 共同好友本身的账号看起来也是新建或重复的。点进那些共同好友里去看。如果其中几个同样是空白的、刚注册的,或者是你认识的人的重复号,你看到的就是一张克隆网,不是真实的社交背书。
  • 刚加上不久就来一笔急钱、投资或红包请求。真正的久别重逢是先寒暄。骗局会很快奔向钱:一条投资内幕、一笔应急借款、一个「领取奖品」的链接。
  • 「把那个 6 位验证码念给我」这个转折。任何要求你念出发到自己手机上的验证码的请求,都是在偷你自己的账号。这件事没有任何无辜的版本。一个都没有。
  • 催你换到平台外去聊。「你 LINE 多少」「我们用 WhatsApp 聊」「把你手机号发我」。把对话移出平台,就躲开了平台的举报和检测工具。

该退休的那句话

你会从很清醒的人嘴里听到这句:「它有好几个共同好友,我就以为是真的。」把这句话当成警告,而不是放心的理由。

共同好友的数量不能证明身份。它是一个骗子可以塑造的数字,因为他能克隆你的好几个好友,再把这些假号互相加上,让它们出现在那个数字里。十二个共同好友里有两个是傀儡,那就不是十二个人在替这个账号担保,而是十个真人加一个布景。确认一个人是不是真人,唯一的办法是通过一个骗子控制不了的渠道,找到真正的本人。好友列表,永远确认不了任何人。

重复申请一出现就该做什么

如果这件事正发生在你身上,按顺序一步步来。拒绝并不失礼。

  • 不要通过重复的好友申请。如果你已经加了这个人,那条新申请就是问题本身,不是什么方便。让它一直挂着。
  • 换一个渠道核实。用你早就存好的那个号码打电话或发短信给本人,或者通过一个你确定真是他的平台找他。问一句他有没有重新注册账号。一条平台外的消息就能结束所有猜测。
  • 绝不转账,绝不念验证码。没有哪个真朋友需要你念出发到你手机上的验证码。没有哪个真朋友会用一段投资话术来叙旧。两样都拒绝,每一次都拒绝。
  • 举报这个克隆号。在微信里,打开对方资料页,点右上角,选择投诉,再选「冒充他人」或「账号被盗」。在 LINE、Facebook、Instagram 上,同样进入资料页选举报、冒充。同一个朋友圈子里越多人举报同一个克隆号,平台处理得越快。
  • 提醒真朋友和那些共同好友。告诉本人他被克隆了,让他在自己的好友圈发个提醒。也提醒那些共同好友,但要记住其中几个可能本身就是同一伙的假号,所以请通过你信得过的渠道去提醒,不要在那条可疑对话里直接回复。
  • 如果你已经念了验证码或转了钱,立刻行动。账号被接管,去微信安全中心或对应平台的账号申诉入口冻结账号、改密码、退出所有登录。已经转账的,立刻打银行或支付平台的反欺诈热线请求止付,并通过国家反诈中心 App 或拨 96110 / 110 报案。最初的 24 小时最关键。

怎样让自己的账号不被克隆

你拦不住别人截一张公开的照片,但你可以把自己的账号变成一个差得多的目标,掐断克隆这一步的燃料。

  • 隐藏或收紧好友、通讯录可见范围。这是性价比最高的一个设置。克隆者需要看到你的好友才知道下一个去加谁。在微信里关掉「向我推荐通讯录朋友」「添加我的方式」里不需要的入口,在 Facebook 上把好友列表设为「仅自己可见」。看不到你的列表,他就没法挨个下手。
  • 把相册和动态设为好友可见。锁住头像历史、封面和朋友圈,让陌生人无法扒到拼出一个像样克隆号的素材。
  • 精简公开的个人信息。把手机号、生日、家乡、单位从公开资料里拿掉。每一项都是让克隆号更可信的一块砖。
  • 到处都开两步验证。用验证器 App 最好。即使你一时大意,它也能让「念验证码」那一招失效,也能挡住直接的盗号。
  • 时不时搜一下自己的名字和头像。每隔一两个月,在平台上搜自己的名字,把头像拿去做一次反向图片搜索。趁克隆号还没去骚扰你的朋友就抓住它,能把损失压到最小。
  • 被克隆了就发一条「认证声明」。告诉朋友你的真账号是哪个,并且你永远不会找他们要钱或要验证码。这能给你的圈子打上一针「预防针」,挡住下一次冒充。

怎样举报

哪怕这次没骗到你,也请举报这个克隆号。举报能让假账号更快下架,也为铲掉这些团伙提供数据。

  • 在平台内:微信进入对方资料页点投诉,选「冒充他人」或「账号被盗」;LINE、Facebook、Instagram 同样在资料页选举报、冒充;WhatsApp 在聊天里举报并拉黑。让同一朋友圈子里的人一起举报。
  • 中国大陆:下载国家反诈中心 App 报案,或拨打全国反诈专线 96110;报警拨 110。涉及金钱损失同时联系银行 / 支付平台止付。
  • 台湾:拨打 165 反詐騙專線求证或报案,也可在「165 全民防騙」官网查询举报。
  • 香港:拨打反诈骗协调中心「防骗易 18222」,或上「守網者」(CyberDefender) 平台查询与举报;紧急情况报警 999。
  • 通用做法:在 App 内举报冒充账号,并通过你信得过的渠道提醒你真实的联系人。
作者来源说明。林晚和陈宇的情节是为了说明问题而虚构的,并非某一个具体案例。它取材于中国大陆公安部与国家反诈中心、香港警务处「防骗易 18222」及「守網者」平台、台湾刑事警察局「165 反詐騙專線」以及微信、LINE、Facebook 官方安全指引在 2024 至 2025 年记录的真实攻击模式。文中的姓名、城市、对话和金额都做了戏剧化处理。真实受害者经历的几乎是同一件事,常常因为一条好友申请显示了熟悉的共同好友而点了通过。上文的核实、举报和补救步骤,反映的是执法机构和各平台目前的建议。

SafeBrowz 如何拦截此威胁

SafeBrowz 采用 3 层检测架构:本地 + API + AI。

  • 第 1 层,本地检测:60+ 条 URL 模式和 550+ 个品牌专属签名直接在你的浏览器里运行。它能抓住克隆账号推给你的仿冒页面,包括假红包、假「领取奖品」站、假投资平台,以及用来盗密码的假登录页。
  • 第 2 层,API 检查:聚合 Google Safe Browsing、PhishTank、URLhaus、ScamAdviser,全世界任何地方一被举报,已知的恶意域名就会被比对出来。
  • 第 3 层,AI 深度扫描(高级版):支持 100+ 语言的内容分析,能识别还没被任何黑名单收录的全新假红包页和假登录页。

诚实说明:SafeBrowz 读不到你的私聊消息,也不会替你判断一条好友申请是不是假的。我们是一个浏览器扩展。我们拦的是链接这一环,也就是克隆账号把你引去的那个假红包、假投资、假登录页面。克隆号本身,靠的是上面那些「人」的动作来防:不通过重复申请、绝不念验证码、换个渠道核实本人。把链接防护和换渠道核实这个习惯叠在一起,骗子就没有空间了。

检测签名源自威胁情报研究和我们内部的品牌数据库,而非用户浏览数据。SafeBrowz 不存储每个用户的浏览历史。

拦住克隆账号发来的假红包和假登录页

SafeBrowz 是一款面向 Chrome、Firefox、Edge 的免费浏览器扩展,能在假登录页、假红包页和仿冒站点加载之前把它们拦下来。它识别 550+ 个品牌,页面一旦试图冒充就自动标红;它的 AI 内容分析支持 100+ 语言,新诈骗域名一上线就能抓住。永久免费,无需账号。你也可以先用我们免费的 URL 安全检测工具检查任何链接。

Chrome 添加到 Chrome Firefox 添加到 Firefox Edge 添加到 Edge

常见问题

为什么我会收到一个已经是好友的人发来的好友申请?

几乎都是因为骗子克隆了那个人的账号。他们复制名字、头像、封面和签名,然后向真人的整份好友列表批量发申请,赌你以为朋友换了新号。真朋友并没有加你。不要通过这条重复申请。换一个你确定真是他的号码或平台联系本人,问他有没有重新注册账号。

一个账号有很多共同好友,是不是就说明它是真的?

不是。共同好友的数量不能证明身份。骗子常常克隆同一个朋友圈子里的好几个人,再把这些假号互相加成好友,于是克隆号能显示出你认识的共同好友,可其中几个本身就是骗子控制的假账号。点进那些共同好友里去看:如果有的账号是刚注册的、空白的,或者是你认识的人的重复号,你看到的就是一张克隆网,不是真实的社交背书。

一个朋友的新账号让我念一个 6 位验证码,这是怎么回事?

这是在偷你自己的账号,不是偷你朋友的。骗子在微信、Facebook 或 WhatsApp 的登录界面输入你的手机号,平台就把验证码发到你真实的手机上。你一念给他,他就填进去接管你的账号。没有哪个真朋友需要发到你设备上的验证码。永远不要念出来,并且开启两步验证,这样即使一时大意也不会被锁号。

判断一条好友申请是克隆号,最明显的迹象有哪些?

一个已经是你好友的人又发来新申请,是最响的迹象。其次是:一个只有头像和封面、没有真实历史的全新账号;共同好友本身的账号也看起来很新或是重复号;刚加上不久就来一笔急钱、投资或红包请求;要你念出验证码;以及催你把对话换到 LINE、WhatsApp 或电报上去。单独一个不算证据,但组合在一起几乎就是了。

怎样让自己的账号不被克隆?

隐藏或收紧好友、通讯录的可见范围,这是最重要的一步,因为克隆者需要你的列表才知道下一个去加谁。把相册和动态设为好友可见,把手机号、生日、家乡、单位从公开资料里拿掉,并且到处都开两步验证。每隔一两个月搜一下自己的名字、给头像做一次反向图片搜索,趁早抓住克隆号,再发一条声明告诉朋友你的真账号永远不会向他们要钱或要验证码。

SafeBrowz 能阻止克隆账号诈骗吗?

SafeBrowz 没法告诉你某一条好友申请是不是假的,也不读你的消息。它拦的是攻击中链接这一环:克隆账号把你引去的假红包页、假投资平台和仿冒登录页。我们 550+ 个品牌的数据库能实时抓住这些冒充页面,AI 层(高级版)能在新诈骗页一上线就抓到它。把 SafeBrowz 和「换个渠道核实本人」这个习惯配在一起,你就把攻击的两端都堵住了。

最后更新 2026-06-07

相关阅读