如果您最近使用您的 Apple ID 登录并请求基于短信的第二因素验证码而不是使用受信任的设备方法,您可能已经注意到 Apple 对您收到的文本进行了更改。
此前,Apple 发过这样一条信息:
您的 Apple ID 代码是 123456。不要与任何人分享。
从 2021 年 11 月左右开始,代码以这种格式出现:
您的 Apple ID 代码是:123456。不要与任何人分享。 @apple.com #123456 %apple.com
为什么要改变? Apple 在 2020 年 8 月提出,它将支持登录的“域绑定代码”。 这种代码需要站点在用于验证码的短信中稍作添加。 传入消息必须提供目标域和一些其他数据。 Apple 表示,这一变化将提高其操作系统的完整性,通过 iOS 和 iPadOS 中 QuickType 栏中的建议以及 macOS Safari 和其他利用此功能的 macOS 应用程序中的下拉值来自动填充代码。
Apple 提出此更改是为了阻止试图拦截和重定向验证码的网络钓鱼。 在大多数网络钓鱼攻击中,受害者会被引导到一个虚假网站,要求他们输入他们的凭据。 该站点获取这些凭据并默默地转发它们以登录合法站点。
但是一些攻击者明智地进行双因素身份验证。 如果站点通过短信作为默认方法发送代码,则被钓鱼的用户会收到一条包含该代码的短信。 然后网络钓鱼者会提示输入该代码。
iOS、iPadOS 和 macOS 提供在任何格式正确的字段(包括网络钓鱼站点的验证码字段)中将最近通过短信发送到消息应用程序的代码填入。 这对骗子来说太容易了。
但是,如果文本消息的范围符合 Apple 的建议,则从 iOS 15、iPadOS 15 和 macOS 11 Big Sur 开始的操作系统将仅在与域名匹配的网站上提供自动填充功能。 安全性并不完美,但这是加强防御措施的简单更新。
格式一般是这样的:
- 标准的人类可读消息,包括代码,后跟新行。
- 作用域为
@domain.tld. - 代码再次重复为
#123456. - 如果网站使用了一个嵌入的 HTML 元素,称为 iframe,则 iframe 的来源列在 % 之后,例如
%ecommerce.example. (原始规范指定 @;Apple 似乎在其文本中使用 %。)
作为用户,您不需要做任何事情。 SMS 代码继续按照有效站点的预期自动填充。
但是,您可以提高警惕:当您收到这种格式的代码作为短信并且您的应用程序或浏览器不提供自动填充它时,您可能会受到网络钓鱼陷阱的影响。 在继续之前仔细调查域或应用程序。
这篇 Mac 911 文章是对 Macworld 读者 Kevin 提交的问题的回应。
询问 Mac 911
我们编制了一份最常被问到的问题列表,以及答案和专栏链接:阅读我们的超级常见问题解答,看看是否涵盖了您的问题。 如果没有,我们一直在寻找新的问题来解决! 将您的电子邮件发送至 [email protected],包括适当的屏幕截图以及您是否希望使用您的全名。 并非每个问题都会得到解答,我们不会回复电子邮件,也无法提供直接的故障排除建议。
![如何传输文件 iPhone 无线连接至电脑 [Full Guide]](https://digitalixy.com/statics/image/placeholder.png)