每日大赛今日换手机后：链接风险一步步写明白，按这个顺序排查

每日大赛今日换手机后：链接风险一步步写明白，按这个顺序排查

换了新手机，心情好但安全风险也随之而来。尤其是“链接”相关的风险：被授权的应用、遗留会话、短信/电话控制、深度链接（deep link）和 URL 处理都可能成为入侵或信息泄露的入口。下面把要做的事情按顺序列清楚，照这个顺序逐项排查，能把大部分风险堵住。

一目了然的顺序（先做前面的）

1. 检查手机号与运营商设置（SIM 安全）
2. 确认主账户（Google/Apple/微信/支付宝等）登录与设备列表
3. 二步验证与验证码渠道
4. 撤销旧设备的会话和授权
5. 第三方应用 / OAuth 授权检查
6. 支付方式、自动填充和密码管理器
7. 通讯软件会话、云备份与已登录设备
8. 应用权限、默认打开链接与 URL 处理
9. 检查系统与浏览器的已保存内容（密码、书签）
10. 测试敏感操作并设立监控（通知、银行提示等） 按顺序做，防护更稳。

逐项详解（带实操指引）

1. SIM 和运营商设置（先断绝对方通过手机号控制你的线路）

• 立刻确认能正常收到电话与 SMS。若发现异常短信或无法接收验证码，联系运营商核查是否发生 SIM 转移（SIM swap）。
• 为手机号设置运营商PIN/密码（大多数运营商都有类似功能），关闭不必要的短信转发或呼叫转接。
• 如果你之前启用了 eSIM，确认新设备上的 eSIM 是否正确激活，旧设备上的 eSIM 是否已删除。

1. 主账户登录与设备列表（控制身份根源）

• Google：进入 Google 账号 > 安全 > “你的设备”，把不再使用或不认识的设备登出。再到“第三方应用有账号访问权限”查并撤销不必要的权限。
• Apple：设置 > [你的姓名]，在设备列表里移除旧设备，进入“密码与安全性”检查登录信息和信任设置。
• 微信/支付宝：进入账号安全或设备管理，查看已登录设备并解除不认识或旧设备的登录状态。 目的：谁能用你的主账号，一切都会被连带信任。先收回这些信任。

1. 二步验证（2FA）与验证码渠道

• 把二步验证（Authenticator、短信、硬件密钥）迁移到新手机：例如 Google Authenticator 提供导出/导入；Authy 可以开启云备份并在新设备上恢复。
• 不再依赖单一短信通道作为唯一 2FA，优先使用基于时间的一次性密码（TOTP）或安全密钥（YubiKey 等）。
• 更新银行、重要服务的手机号和备份邮箱，确保恢复渠道可控。

1. 撤销旧设备会话和授权

• 手动登录各大服务的“我的设备”或“已登录设备”页面，全部退出旧设备。
• 强制登出网页端会话（例如 Gmail、社交媒体的“退出所有会话”功能）。
• 如果旧手机在手上，做出厂重置前先注销所有账号并删除卡信息。

1. 第三方应用与 OAuth 授权

• 在 Google/Apple/微信/支付宝等的授权管理里，撤销不认识或不再使用的第三方应用授权。
• 检查是否存在“长期授权”的服务——尤其注意那些能读写邮件、联系人或代发消息的应用。 说明：恶意或被攻陷的第三方应用能通过 OAuth 持续访问你的数据，即使你换了手机。

1. 支付方式、自动填充、密码管理器

• 检查 Google Pay / Apple Pay / 支付宝 / 微信支付等，移除旧设备与不认识的卡或授权。
• 检查浏览器和系统的自动填充设置，清理不再使用的卡号与地址。
• 将密码管理器（1Password/LastPass/Bitwarden 等）安全迁移：使用导入/导出功能并在新设备上启用强主密钥和多因子认证。 糟糕的自动填充会在你点一个看似安全的链接时泄露信用卡或地址信息。

1. 通讯软件会话与云备份

• WhatsApp：设置 > 已连接设备（Linked devices），踢掉不认识的会话；确认云备份账号（Google Drive / iCloud）是否为你控制的帐号。
• Telegram：设置 > 活动会话（Active Sessions），结束不明会话。
• Signal：设置 > 已链接设备，移除不必要设备。
• 微信：账号保护 > 登录设备管理，移除旧设备。 目的：聊天记录或登录会话被他人持有，会让链接与社交工程攻击更容易成功。

1. 应用权限、默认打开链接与 URL 处理

• Android：设置 > 应用 > 默认应用或“打开链接”（Open by default），检查哪些应用被设置为默认打开特定 URL 或文件类型，取消不必要或可疑的默认权限。
• iOS：检查每个应用内的设置，卸载不信任的应用。iOS 对默认链接处理相对受限，但仍要检查“默认浏览器/邮件应用”设置。
• 检查有“在其它应用上层显示”的权限（draw over other apps），这类权限可被用于钓鱼式遮盖界面。 说明：不良 app 可通过注册 URL scheme 或 intent filter 拦截你点的链接，导致被引导到恶意界面。

1. 浏览器、短链接与 URL 安全

• 对短链接要谨慎：长按预览或使用在线 unshorten 服务（例如 unshorten.it、checkshorturl）看真实目标域名。
• 遇到可疑链接，先在 VirusTotal 或类似服务中扫描 URL，或用沙箱浏览器另开容器页面。
• 清理浏览器缓存、保存的密码和自动登录状态，确认没有遗留的登录会话。

1. 测试敏感操作并设置监控

• 试着在新设备上进行一次小额银行查询、一次应用内登录并观察是否收到异常通知或验证码被他人占用。
• 在银行和重要平台开启登录/交易通知短信或邮件，开启异常登录提醒。
• 为关键服务设置恢复邮箱和紧急联系人（且确保这些渠道也在你的控制下）。

额外风险与补救小贴士

• 卸载可疑应用并清除数据，避免保留“已允许”的危险权限。
• 如果旧手机不再使用，先完全退出所有账号、断开绑定蓝牙设备，再做出厂设置。
• 对于极其敏感的账号（银行、高权限企业账户），考虑更换密码并重新设置 2FA。
• 设立运营商密码并把重要服务的恢复邮箱设为非手机号依赖型（因为手机号可能被攻击者劫持）。
• 若怀疑账号已被攻破，尽快联系相应平台客服并提交安全申诉。

简明速查清单（可打印）

• 手机卡：PIN已设，未被转移
• 主账户：Google/Apple/关键账号全部登出旧设备
• 2FA：Authenticator/密钥已迁移
• 授权：撤销不必要的 OAuth 第三方
• 支付：移除旧卡与旧设备上的支付授权
• 聊天：结束可疑会话、检查云备份账号
• 权限：关闭“在其他应用上层显示”、清除默认打开链接
• 浏览器：清除保存密码、扫描短链接
• 监控：开启登录/交易提醒，测试一次小额操作

结语 按上面的顺序一步步做，能把最危险的入口（手机号、主账号、2FA）先稳住，再逐步清理授权与默认行为。换手机不是换个壳，而是一次重新确认“谁能用我的身份、谁能打开我收到的链接”的机会。按顺序排查，花 30–60 分钟，能把大多数链接相关风险降到最低。祝你换机顺利，日常大赛兵来将挡，链接不乱跑。