Salt Typhoon 2FA 升级 2026：为什么 TOTP 现在已胜过短信

2024 至 2025 年，美国 2FA 安全到底发生了什么变化

在短信 2FA 时代的大部分时间里，实际的风险模型很直接。要么有人用 SIM 卡盗号（社工冒充你说服运营商门店把号码移植走）盯上你，要么有人用钓鱼工具包代理一个假登录页面、实时窃取你的验证码。第一类罕见、成本高，主要针对高价值个体。第二类主要靠基本的用户警觉性和现代防钓鱼流程来抵御。短信 2FA 普遍被认为对一般账户已经"够用"。

Salt Typhoon 公开打破了这个模型。根据 FCC 的公开声明 以及 Wired 和 Wall Street Journal 在 2024 年末到 2025 年初的报道，该活动持续访问了在主要美国运营商之间承载通话、短信和信令的设备。这一类访问改变了攻击者在协议层能看到什么、能做什么。攻击者不是在偷一部手机，而是在你接收短信验证码的那条线路上"坐镇"。

CISA 在 2024 年 12 月 18 日的回应是与 FBI、NSA 和 CSE 联合发布的咨询通告 AA24-352A《电信基础设施可见性增强与加固指南》，并配套一份面向消费者的 《移动通信最佳实践指南》 手册。运营商指南是技术性的。面向消费者的手册只有两页，核心建议毫不含糊：不要把短信当作第二因子，改用抗钓鱼的验证器。

这并不是理论建议。NIST SP 800-63B 自 2017 年起就一直警告短信认证的风险。2024 年 Salt Typhoon 的披露，正是这一原本停留在学术层面的弃用建议，转化为运营层面紧迫任务的时刻。读到这里的大多数人，至少还有一个关键账户在用短信收验证码。这必须改。

CISA 在 2024 年 12 月到底发布了什么

技术指南避免了任何关于威胁组织归因的争论，聚焦在已观察到的行为上。对普通人来说，有三点是关键。

• 部分网络的运营商信令层已被入侵。该咨询描述了入侵者触及到了运营商之间路由流量的设备。这正是攻击者可以请求或重定向短信投递、却完全不接触你手机的那一层。
• 短信一次性验证码应当被抗钓鱼的认证方式取代。消费者最佳实践手册将硬件安全密钥和验证器 App 列为推荐替代方案，顺序也是这样。短信被明确列在"避免使用"一栏。
• 端到端加密通信是涉及敏感对话的新底线。指南建议消费者使用 Signal、Apple 设备之间的 iMessage，以及 Android 设备之间的 Google Messages RCS。跨平台短信和不带端到端加密的 RCS 现在默认就被视为已被攻陷。

该指南没有点名国家，也不需要。行为是运营事实；地缘政治问题留给 FCC 和白宫。对终端用户来说，关键的结论是：短信 2FA 一直依赖的那个信任假设（运营商信令默认是安全的）已经无法继续成立了。

短信在运营商层面到底是怎么被拦截的

短信 2FA 会败给多种攻击类别，而这些攻击的危险性都被普通用户低估了。

SS7 和 Diameter 滥用。SS7 是自 1970 年代就把全球移动网络连在一起的旧式信令协议。Diameter 是它在 LTE 和 5G 中的现代继任者。两者设计于一个只有少数几家可信国家级运营商能接触到信令的时代，因此根本没有对信令请求的发起方做认证。攻击者只要拿到一家配置不当的运营商或一个被入侵的 SS7 节点，就可以下发"用户位置更新"或"短信转发"消息，把发往你号码的短信重定向到他们控制的节点。接收方（你的银行或 Google）看到投递成功了。你什么也看不到，从来没收到那条短信。攻击者读出验证码并使用。这并不新鲜，研究人员从 2014 年起就演示过这类风险。2024 年的变化是，规模化做这件事所需的访问权限不再只是假设。

VoLTE 与 5G IMS 攻击。VoLTE 和 5G IP 多媒体子系统把短信作为运营商 IP 网络上的数据包来承载。2024 年和 2025 年发布的近期学术研究表明，部分网络中配置错误的 IMS 互联会泄露明文短信内容，而在运营商内部站住脚的有针对性攻击者，可以在完全不碰 SS7 的情况下读取短信。CISA 在 2024 年 12 月给运营商的指南，明确把"基于 IP 的信令"列为加固重点。那一层就是 IMS。

伪基站（IMSI catcher）攻击。一辆停泊在路边的厢式车里装一个小设备，强迫附近的手机接入它，把它当作伪造的基站使用。传输中的短信可以被截获。十年前这是国家级攻击。今天硬件在商业渠道几千美元就能买到。是有针对性的攻击，不是大规模收割，但已经真实存在。

SIM 卡盗号。同一问题的消费级版本。攻击者打电话或亲自去运营商门店，用从地下论坛购买的个人资料冒充你，说服店员把你的号码迁移到他们手里的 SIM 卡上。你的手机失去信号。下一条进入的短信验证码就到了他们手里。Krebs on Security 在 2024 至 2025 年记录了数十起高价值的 SIM 卡盗号案件，包括六位数的加密资产盗窃。FCC 在 2024 年 7 月生效了新的 SIM 卡盗号与号码迁出规则，专门用来减缓这类攻击，但在门店一线的执行仍参差不齐。

共同点：短信作为第二因子，假设验证服务与你手机之间的路径是私密的。以上攻击都不需要破解加密，它们绕开了加密。相比之下，TOTP 根本不在网络上传输验证码。

为什么 TOTP 验证器 App 不受影响

TOTP 由 RFC 6238 定义。当你扫描二维码来配置 Google Authenticator 或任何兼容 App 时，存到设备上的是一个共享密钥。每 30 秒，App 把这个密钥与当前 Unix 时间戳通过 HMAC-SHA1 组合，生成一个 6 至 8 位的验证码。服务端拥有相同的密钥，运行相同的计算，如果匹配就接受你的验证码。

整个过程中，验证码不会通过任何网络传输，直到你亲手输入它为止。没有短信，没有运营商参与，也没有 SS7 层。共享密钥在最初扫描二维码之后再也不会离开你的设备。即便攻击者掌控了一家美国运营商的信令网络，他们也完全没有能力读取或伪造你的 TOTP 验证码，因为验证码在任何环节都不经过运营商网络。

这就是为什么 CISA、NIST 以及几乎所有现代认证指南都把 TOTP 验证器 App 排在短信之上。它们并不完美。一个代理假登录页面的钓鱼工具包，仍然可以把你诱导到错误站点上输入 TOTP 验证码。那是另一类攻击（我们在 中间人 2FA 绕过 深度文章中讲过现代版本）。但 Salt Typhoon 级别的运营商入侵对 TOTP 完全无关。

2026 年 5 月值得安装的四款验证器 App：

• Google Authenticator（iOS、Android）。现已支持绑定 Google 账户的云备份，更换手机时不会丢失验证码。安装时务必勾选备份选项，否则手机坏掉那天你会后悔。
• Microsoft Authenticator（iOS、Android）。在 Microsoft 365 和 Azure 环境下表现强劲，支持企业场景下的"数字匹配"推送（我们在 MFA 疲劳推送轰炸 一文中讲过数字匹配如何破解推送轰炸），并提供 iCloud 和 Microsoft 账户备份。
• Authy（iOS、Android、桌面端）。通过 Twilio 拥有的后端实现多设备同步，如果你想在没带手机的情况下在笔记本上拿到验证码就很有用。2024 年 Authy 一次泄露暴露了 3,300 万个手机号（不涉及密钥，但提醒我们云同步是有取舍的），这件事让一些人对 Authy 的信任打了折扣。
• 1Password 和 Bitwarden。这两款密码管理器把 TOTP 密钥和密码并排存储，全程端到端加密。如果你本来就在用密码管理器，又想少装一个 App，这是不错的选择。

一条安装铁律：扫描二维码的同时，把那一屏上服务提供的恢复码也存好。后面我们会再讲到这一点，因为几乎所有人都会跳过这一步，而几乎所有人都会因此后悔。

硬件令牌层级，以及 Passkey 在哪里

TOTP 之上是抗钓鱼的多因子认证。其参考实现是 FIDO2 硬件安全密钥，比如 YubiKey、Google Titan 或 OnlyKey。你触碰一下密钥，浏览器和网站之间交换一次加密挑战，响应被严格绑定到你当前所在的域名。位于近似域名的钓鱼站点无法重放或转发响应，因为挑战中的域名不会匹配。这是目前唯一能击败实时 AiTM 代理钓鱼工具包的第二因子类别。

Passkey 由 FIDO Alliance Passkey 计划 正式定义，是存储在你所用平台（Apple 的 iCloud 钥匙串、Android 的 Google 密码管理器、Microsoft 的 Windows Hello）中并在你可信设备间同步的 FIDO2 凭据。底层密码学和硬件密钥完全一致。取舍在于：凭据存放在云同步的保险库里，而不是物理令牌中，这对普通人更友好，但也意味着保险库提供方的账户安全成为你威胁模型的一部分。截至 2024 年 FIDO Alliance 的报告，Passkey 已覆盖几乎所有主流消费级服务（Google、Apple、Microsoft、Amazon、PayPal、eBay、GitHub、X、WhatsApp、TikTok、Adobe）。许多服务可以让你零额外硬件就完成 Passkey 配置。

2026 年的实际优先级：

1. 硬件 FIDO2 密钥（YubiKey、Titan）。最强。最适合邮箱恢复账户、银行登录、企业管理员账户、加密交易所。
2. 可信设备上的 Passkey。强度几乎相当，体验更友好，适合消费类账户。X、Discord、Steam、Amazon、eBay 用这个。
3. TOTP 验证器 App。对所有尚未支持 Passkey 的服务来说，是一个稳妥的基线。把所有短信 2FA 账户都升到这一层。
4. 短信 2FA。只能作为临时回退，且只在没有别的选项时使用。计划尽快移除。
5. 完全没有 2FA。任何涉及金钱、身份或工作数据的账户上都不可接受。

每个层级一句话的迁移阶梯

如果整篇文章你只记一点，请记住：把所有支持的账户迁到 TOTP。把你最在意的账户（邮箱恢复、银行、主要加密交易所、工作身份）迁到 FIDO2 硬件密钥或 Passkey。在不丢失账户恢复能力的前提下，尽可能关闭短信 2FA。打印恢复码。放在手机以外的安全地方。

6 分钟把 Google 账户切换到 TOTP

从 Google 入手是对的，因为 Gmail 是你大多数其他账户的恢复通道。如果邮箱被攻陷，剩下的升级就都不重要了。

1. 打开 myaccount.google.com/security。
2. 在"登录 Google 的方式"下，点击"两步验证"。
3. 点击"身份验证器应用"，按二维码提示操作。用 Google Authenticator（或 1Password、Bitwarden）扫描，并用一个验证码完成验证。
4. 向下滚动到"语音或短信"，点击删除（垃圾桶）图标。这就移除了短信作为第二因子。Google 会提示警告，确认即可。
5. 向上滚动到"备用代码"，下载或打印 10 个一次性恢复码。存进密码管理器，并在线下用纸保存一份。
6. 可选但强烈推荐：在"通行密钥与安全密钥"下，给你当前在用的设备配置一个 Passkey；如果你有 YubiKey，也一并注册。

把同样的流程对每一个次要 Google 账户（工作、副业、家庭）再走一遍，每个 5 分钟。

把 Apple ID 切换到抗钓鱼的第二因子

Apple 不允许你关闭 Apple ID 的双因子认证，因为它和 iCloud 深度绑定。你能做的是确认可信设备列表干净，并添加恢复联系人和打印恢复密钥。

1. 在 iPhone 上打开"设置"，点击你的姓名，然后是"登录与安全性"，再到"双重认证"。
2. 检查可信设备列表。删除任何你不认识的设备。剩下的每一台可信设备都相当于一个 Passkey 等价的第二因子。
3. 点击"账户恢复"，至少添加一位恢复联系人（一个有 Apple ID 的可信家人），并生成恢复密钥。把恢复密钥抄写下来，离线保存。
4. 点击"可信电话号码"，添加一个你掌控的备用号码。Apple ID 的短信仍会送达那里，但不再是你唯一的回归路径。
5. 如果你使用 Apple Pay，或者 iCloud 钥匙串里数据很重，请在"登录与安全性"下的"安全密钥"中，至少配置一把硬件安全密钥。两把 YubiKey（一把日常携带，一把保险柜保管）是教科书式配置。

切换 Microsoft 365 和个人 Microsoft 账户

1. 打开 account.microsoft.com/security。
2. 点击"高级安全选项"。
3. 在"证明你身份的方式"下，点击"添加新的登录或验证方式"，选择"使用应用"。配置 Microsoft Authenticator。
4. Authenticator 启用后，在同一页面移除短信号码。Microsoft 会提示警告，确认即可。
5. 滚动到"通行密钥和安全密钥"，添加一把硬件密钥或一个平台 Passkey。Microsoft 365 是 2026 年最受针对的消费级云身份（参见我们的 FBI Kali365 警报解读），所以这个账户最该配硬件因子。
6. 在"恢复代码"下，生成并保存一份恢复码。

切换加密交易所（Coinbase、Binance）

加密交易所账户是互联网上 SIM 卡盗号价值最高的目标。把它们从短信 2FA 中迁移出来，第一优先，第二优先，第三还是优先。

• Coinbase。"设置 → 安全 → 两步验证"，选择"验证器"。用 Google Authenticator 扫描并验证。然后在同一屏上移除短信。Coinbase 还允许你为提现强制 YubiKey；如果你有可观的余额请打开。打印并保存备用码。
• Binance。"安全"菜单 → 两步验证，启用"验证器 App"。在 Authenticator 生效后关闭短信。Binance 也支持硬件安全密钥（FIDO2）和 Passkey；至少启用其中一个。把 2FA 密钥和恢复码存进密码管理器。
• Kraken、Gemini、Bitstamp、BitGo、Crypto.com。套路相同。先迁到 TOTP，再加 Passkey 或 YubiKey（如果支持），最后关掉短信。

加密交易所的提现，正是 SIM 卡盗号真正掏空钱包的环节。运营商层面的短信拦截风险，只是为已经在燃烧的蛋糕上撒了一层糖。如果你持有可观余额，还请在支持的地方启用地址白名单和提现时间锁。

切换社交平台：X、Instagram、Facebook、Discord、Steam

社交账户被劫持后会被用于冒名顶替骗局（参见我们的 语音克隆"假逮捕"后续）、名誉损害，以及作为后续钓鱼的发射台。流程相似，只是菜单路径略有不同。

• X（原 Twitter）。"设置 → 安全和账户访问 → 安全 → 双重身份验证"。启用"身份验证器应用"。关闭"短信"。在同一屏添加 Passkey 或安全密钥。生成一个备用码。注意：X 现在要求付费 Blue / Premium 订阅才能使用短信 2FA，但免费的 TOTP 选项才是你应该用的。
• Instagram。"设置 → 账户中心 → 密码与安全 → 双重身份验证"。选择账户。启用"身份验证器应用"。关闭短信。保存恢复码。
• Facebook。路径同 Instagram，都在账户中心下。顺手在这里加一个 Passkey；Facebook 在 2024 年末上线了 Passkey 支持。
• Discord。"用户设置 → 我的账户 → 启用 Authenticator App"。立即保存备用码（Discord 之后再调出来体验没那么顺）。在同一屏关闭"短信备份"。
• Steam。通过 Steam 手机 App 的 Steam Guard，本质上等同于 TOTP，也是 Valve 唯一推荐的方式。安装 Steam Mobile，启用 Steam Guard 手机令牌，抄下恢复码。Steam 交易要求手机令牌，所以这同时也解锁了更安全的交易。

切换 GitHub

对开发者来说，GitHub 就是身份。被劫持的 GitHub 账户会导致共享项目里出现恶意提交、NPM 和 PyPI 包被接管，以及 Actions 机密泄露。请把它当作管理员账户来对待。

1. 打开 github.com/settings/security。
2. 在"双因素认证"下，点击"启用 2FA"。选择"验证器 App"。用你的验证器扫描，并完成验证。
3. 立即保存 16 位的恢复码。GitHub 只会显示一次。
4. 在"通行密钥"下，添加一个 Passkey 或硬件安全密钥。
5. 如果账户上还绑着短信号码，请在 Authenticator 和 Passkey 都生效之后把它移除。
6. 如果你发布软件包、或与协作者维护仓库，请同时启用强制提交签名，并审计你的个人访问令牌中是否存在权限过宽的项。

恢复码打印铁律

上面每一个服务都会在升级过程中给你一个一次性恢复码、一把恢复密钥或一组备用码。请把它们当作你这辈子最重要的字符串。手机坏了、验证器 App 崩了、你丢了配置 Passkey 的那台设备时，靠的就是它们让你重新进入账户。

规则有三条。

1. 存进你的密码管理器。1Password、Bitwarden、Apple iCloud 钥匙串、Google 密码管理器都支持安全笔记。把恢复码放进去，加上服务名称和日期作为标签。
2. 打印一份纸质副本。是的，纸。放进防火文件盒、家用保险柜，或者交给一位可信的家人。恢复场景的威胁模型是"房子烧了、手机掉河里了"，不是"有攻击者在偷看我邮件"。纸能抵御这种场景。
3. 绝不要把恢复码只存在和验证器 App 同一台设备上。如果它们在同一部手机里，丢了手机就两者皆失。重点是要把恢复因子和主因子分离。

跳过这一步是 2FA 升级后人们把自己锁在账户外的最常见原因。每个账户花上 90 秒，立刻去做。

如果你已经被 SIM 卡盗号了，该怎么办

你会察觉到的，因为你的手机突然没有信号、打不了电话也发不了短信。信号消失，SIM 卡图标显示"无服务"或仅"SOS"。如果你无法解释这件事（没换手机，也没改套餐），就假定是号码被迁出了，然后在接下来的 15 分钟里采取行动。

1. 用另一部电话拨打你的运营商。Verizon 800-922-0204，AT&T 800-331-0500，T-Mobile 用另一条 T-Mobile 线路拨 611 或拨 800-937-8997。告诉对方你怀疑发生了未经授权的号码迁出。要求立即回滚迁出并锁定账户。
2. 用一台已知干净的设备，按优先级登录你最敏感的账户：先是主邮箱，然后是银行，然后是加密交易所，再到其他。修改密码。注销活跃会话。把短信从 2FA 选项中移除。添加 Passkey 或 TOTP。
3. 提交报案。FCC 消费者投诉 consumercomplaints.fcc.gov，FBI 互联网犯罪投诉中心 ic3.gov，FTC reportfraud.ftc.gov。如果有钱被转出，向当地警方报案也是后续退款或保险索赔所必需的。
4. 设置一个既不是手机号、也不是出生日期的运营商号码迁出 PIN。美国四大运营商都允许设置独立于账户 PIN 的号码迁出 PIN。两个都设，都设长，存进密码管理器。这是防止再次被 SIM 卡盗号最有效的一道关卡。
5. 把邮箱和银行永久迁出短信 2FA。如果在被盗号前没做，现在就做。

我们为什么选在现在发这篇

SafeBrowz 大部分时间都在拦截社交工程得手后、专门钓你 2FA 验证码的第二阶段钓鱼页面。我们看到工具包，我们看到近似域名，我们看到 AiTM 代理基础设施，它们能实时截获一个 TOTP 验证码并在 30 秒内重放。针对这类攻击的正确答案是抗钓鱼 MFA：硬件密钥和 Passkey。

但这一切的前提是：用户不再停留在短信 2FA。只要短信还是第二因子，上游的所有改进都无济于事。Salt Typhoon 是短信 2FA 技术底线公开崩塌的那一刻。CISA 已经明说，NIST 多年来一直在说。迁移到 TOTP 是底线，而不是天花板。

再补一条立刻行动的理由。同一个用来送达 2FA 短信的电信信令层，也送达你用于密码重置的账户恢复短信、"是不是你在登录"的两步提示，以及银行的反欺诈警报短信。即便你成功升级了 2FA 流程本身，每一个仍把你的手机号当作备用身份因子的服务，都暴露在同样的风险下。把短信从你的安全路径里移除，意味着要在它充当恢复因子的每个地方都移除，而不只是它作为验证码出现的地方。请用对待 2FA 字段同等的严格，审计每个账户的"备用电话号码"和"恢复电话"字段。只有当短信在你的整个账户体系里都不再被信任时，迁移才算完成。

SafeBrowz 如何拦截针对 2FA 验证码的第二阶段钓鱼

从短信升级到 TOTP，移除了运营商层面的攻击面，但没有移除钓鱼面。升级之后你会遇到的下一类攻击，是一个近似的登录页面在 30 秒有效期内实时问你要 TOTP 验证码、并转发给攻击者的会话。我们的三层检测引擎正是为捕捉这类攻击而构建。

SafeBrowz 采用三层检测架构：本地 + API + AI。

• 第一层，本地检测：60+ 条 URL 模式、550+ 个品牌专属签名（Google、Apple、Microsoft、Coinbase、Binance、GitHub、X、Discord、Instagram、Facebook、Steam，以及我们覆盖列表中的每一家银行和加密交易所），加上西里尔字母与 Punycode 同形字检测，再加上社区黑名单，全部在页面渲染前直接在扩展内运行。针对你刚刚升级的服务的近似登录页面，会在 URL 层被拦下。
• 第二层，API 信誉：服务端聚合 Google Safe Browsing、PhishTank、URLhaus、ScamAdviser 和 30+ 条诈骗 TLD 启发式规则。新注册的近似域名（大多数 AiTM 钓鱼工具包每 24 至 72 小时就更换一次域名）会迅速出现在这些情报源中。
• 第三层，AI 深度扫描（高级版）：多语言内容分析器读取渲染后的页面，识别社交工程意图，不依赖于域名。对 "2FA 验证码钓鱼" 这类，破绽标志是"非官方主机上的品牌登录表单要求一个 6 位数字"。高级版用户在 100+ 种语言下都能拿到这一层。

检测特征来自威胁情报研究和我们自有的品牌数据库，并非来自用户浏览数据。SafeBrowz 不存储每位用户的浏览记录。

把 SafeBrowz 和 TOTP 升级搭配起来，你就同时关上了现代 2FA 攻击模型的两边：运营商信令那一边（由 TOTP 解决）和近似登录页那一边（由 SafeBrowz 解决）。

常见问题

对普通人来说短信 2FA 真的不安全吗，还是只针对高价值目标？

在 2026 年，对两类人都不安全，只是规模不同。SIM 卡盗号和 SS7 滥用已经从"国家级专属"下移到了机会型犯罪分子手里，尤其是涉及加密或银行余额的账户。CISA 在 2024 年 12 月的消费者指南本就是写给普通人的，不仅是高价值目标。升级到 TOTP 的成本是每个账户大约 12 分钟；做错的代价是你的账户。

如果我从短信迁到 TOTP，我就不会被钓鱼了吗？

更安全，但不是免疫。TOTP 彻底击败了运营商层面的拦截和 SIM 卡盗号。它无法击败实时 AiTM 代理钓鱼工具包，那种工具包会在你输入时截获验证码，并在 30 秒窗口内重放。对你最在意的账户（邮箱恢复、银行、主要加密交易所、工作身份），请在 TOTP 之上再升级到 FIDO2 硬件密钥或 Passkey，它们绑定到确切的来源域名，无法被代理转发。

如果只能选一款验证器 App 该装哪个？

对大多数用户来说，Google Authenticator 是最稳妥的默认选项，因为备份选项整合得好、UI 简单，不太可能消失。如果你常驻在 Microsoft 365 或 Azure，Microsoft Authenticator 更合适。如果你本来就用密码管理器、又想少装一个 App，1Password 或 Bitwarden 是对的选择。Authy 技术上没问题，但 2024 年的电话号码泄露让我们对新用户推荐时不那么热情。

如果我丢了手机，我的 TOTP 验证码会怎样？

如果你设置了云备份（Google Authenticator 绑 Google 账户、Microsoft Authenticator 绑 Microsoft 账户、1Password 和 Bitwarden 默认启用、Authy 默认启用），登录新手机后验证码会恢复。如果你没启用备份、也没为每个账户打印恢复码，那就只能走每个服务自己的账户恢复流程。这就是为什么"打印恢复码"那一步并非可选项。

如果我用的服务只支持短信 2FA 怎么办？

按优先级有三个选项。第一，每个季度看一次安全设置页面；许多服务悄悄上线了 TOTP 或 Passkey 支持。第二，问客服是否有隐藏选项（一些银行把更强的 2FA 藏在电话申请之后）。第三，把运营商允许的最强号码迁出 PIN 设上，使用一个不是你主号的号码（用 Google Voice 或 eSIM 副号专门做 2FA 是常见做法），并把这个账户当作比其他账户更脆弱的恢复对象来对待。

Salt Typhoon 真的大规模拦截了消费者短信，还是只针对了特定对象？

公开报道描述的是针对特定电话号码（包括执法监听对象）的有针对性访问，并非大规模消费者短信被读取。CISA 在 2024 年 12 月的指南是预防性的；它判断已经展示出来的访问能力，已经足以正当化把消费者迁出短信，尽管没有公开证据表明发生了大规模短信窃取。威胁模型是"这个能力存在于错误的人手里"，而不是"它正在被针对你使用"。无论如何，迁移成本足够低，预防性立场是正确的。

SafeBrowz 相关报道

• MFA 疲劳推送轰炸 - 数字匹配如何击败推送轰炸以及与 TOTP 的关系
• 中间人 2FA 绕过 - 实时截获 TOTP 验证码的现代钓鱼工具包类别
• 银行电话钓鱼 - 常与 SIM 卡盗号配套使用的社交工程攻击
• WhatsApp 6 位验证码盗号 - 已活跃多年的消费级短信拦截攻击
• FBI Kali365 Microsoft 365 钓鱼警报 2026 - OAuth 设备码钓鱼，后 MFA 时代的攻击类别
• 如何识别假冒微软的钓鱼邮件 - 微软账户被接管的上游钓鱼路径
• 语音克隆假逮捕诈骗 - 账户被接管后的社交媒体跟进攻击
• 2026 在线支付与虚拟卡安全 - 保护同一威胁面财务侧的方法
• 2026 年最佳防诈浏览器扩展 - 浏览器侧防御层对比
• 免费 URL 检测工具 - 输入任意 2FA 登录 URL，验证后再输入验证码

结论：Salt Typhoon 是短信 2FA 不再默认可辩护的公开时刻。CISA 的指南毫不含糊，NIST 自 2017 年就一直站在那里，迁移路径是每个账户 12 分钟外加一张纸质打印件。今天就把每个账户都迁到 TOTP。给装着你的钱、邮箱或身份的账户加一把硬件密钥或一个 Passkey。把紧随其后的近似登录页拦下。Salt Typhoon 是警告。接下来一小时你的行动，决定了你是不是真的需要它。

最后更新：2026 年 5 月 29 日