如果您最近使用 Apple ID 登录过并且请求基于短信的第二因素验证码，而不是使用受信任的设备方法，您可能已经注意到 Apple 对您收到的文本进行了更改。

此前，Apple 发送过这样的消息：

您的 Apple ID 代码是 123456。请勿与任何人分享。

从 2021 年 11 月左右开始，代码将按以下格式显示：

您的 Apple ID 代码是：123456。请勿与任何人分享。 @apple.com #123456 %apple.com

Apple 已从普通短信验证码（上）迁移到提供一些额外网络钓鱼防护的验证码（下）。

为什么要改变? Apple 于 2020 年 8 月提议支持用于登录的”域绑定代码”。此类代码要求网站对用于验证码的短信进行轻微添加。传入消息必须提供目标域和一些其他数据。苹果表示，这一变化将提高其操作系统的完整性，通过 iOS 和 iPadOS 中 QuickType 栏中的建议以及 macOS Safari 和其他利用此功能的 macOS 应用程序中的下拉值来自动填充代码。

Apple 提出此更改是为了阻止试图拦截和重定向验证码的网络钓鱼。在大多数网络钓鱼攻击中，受害者会被引导至一个虚假网站，要求他们输入凭据。该站点获取这些凭据并默默地转发它们以在合法站点上登录。

但是一些攻击者很明智地采用了双因素身份验证。如果网站通过短信发送代码作为默认方法，则被钓鱼的用户会收到包含该代码的短信。然后网络钓鱼者会提示输入该代码。

iOS、iPadOS 和 macOS 允许在任何格式正确的字段（包括网络钓鱼网站的验证码字段）中填写最近通过短信发送到消息应用的代码。这使得诈骗者太容易得手了。

但是，如果短信的范围符合 Apple 建议的范围，则从 iOS 15、iPadOS 15 和 macOS 11 Big Sur 开始的操作系统将仅在与域名匹配的网站上提供自动填充功能。安全性并不完美，但这是一个简单的更新，以加强防御行动。

格式通常如下所示：

• 标准的人类可读消息，包括代码，后跟新行。
• 范围域为 @domain.tld。
• 代码再次重复为 #123456。
• 如果网站使用嵌入的 HTML 元素（称为 iframe），则 iframe 的来源会列在 % 后面，例如 %ecommerce.example。 （原始规范指定了 @；Apple 似乎在其文本中使用 %。）

作为用户，您无需执行任何操作。 SMS 代码将继续按照有效网站的预期自动填充。

但是，您可以提高警惕：当您收到这种格式的代码作为短信并且您的应用或浏览器不提供自动填充功能时，您可能会陷入网络钓鱼陷阱。在继续之前仔细调查域或应用程序。

这篇 Mac 911 文章是为了回答 Macworld 读者 Kevin 提交的问题。

询问 Mac 911

我们整理了最常被问到的问题列表，以及答案和专栏​​链接：阅读我们的超级常见问题解答，看看您的问题是否得到解答。如果没有，我们总是在寻找新的问题来解决！通过电子邮件将您的信息发送至 mac911@macworld.com，包括适当的屏幕截图以及您是否希望使用您的全名。并非所有问题都会得到解答，我们不会回复电子邮件，也无法提供直接的故障排除建议。

赞微海报分享