澎湃Logo
下载客户端

登录

  • +1

手机ID频遭盗刷,苹果安全百密一疏?

2024-11-27 12:31
来源:澎湃新闻·澎湃号·湃客
字号

/

频繁出现的苹果手机ID频遭盗刷,是如何发生的?

文|尹子璇 编|杨肖若

出品|商业秀

注意了!如果你的苹果手机绑定了支付宝的免密交易系统,那么有可能存在账户被盗刷的风险。

近日,多位苹果手机用户在小红书等多个渠道反馈,自己的苹果ID被盗刷,随后其苹果ID绑定的支付宝免密账户被用于多类型线上消费。

据不完全统计,多位用户因此造成的人均经济损失达数千元。「 商业秀」在黑猫投诉上搜索“苹果盗刷”,相关投诉共计4536条。

而在小红书上,被盗刷的经历分享帖及款项追回分享帖也屡见不鲜。

在一些被盗刷的用户微信群里,有人表示,这是一种从没遇到过的新型诈骗方式;有人则表示,这也许涉及苹果安全存在技术漏洞问题。

这些频繁出现的苹果手机ID“被盗刷事件”,究竟是如何发生的?谁该负责?除了报警,等待追回款项。苹果用户们,又该如何防范?

-Business Show-01

陌生用户加入家庭账户

凌晨被盗刷十数笔

11月13日晚,在深圳工作的小亚(化名)收到一条短信,短信提示小亚的Apple账户出现异常,需要点击链接开启双重验证。

据小亚对「商业秀」回忆,这是一个高度复刻苹果官网的网站,细节与苹果官网无异,且上面有小亚的苹果ID,需要小亚输入密码进行验证,在小亚输入密码后显示验证成功。

奇怪的是,在11月17日早上,小亚起床后发现自己的账户已经被盗刷了近3000元。

事件发生后,小亚立刻报警,在与警察的共同梳理中,事件全貌似乎浮出水面:

凌晨4点28分开始,一个名为“向俊权”的账户加入小亚的“苹果家庭账户”,往一款名为《热血传奇》的游戏进行了共13笔消费,共计人民币2880元,此时,因多笔消费都是类似金额,小亚的银行发现异常,锁定了其银行账户。随后,在4点46分,“向俊权”马上就退出了小亚家庭账户,然后抹去他所有的痕迹。

那么,“向俊权”是如何加入到小亚的家庭账户的呢?

小亚翻开自己的iCloud邮箱发现,11月13日下午他曾收到一封提示,有个国外的号码加入了“双重验证的安全手机范畴”。

小亚告诉「商业秀」,“iCloud邮箱并不常用,在被盗刷之前,我并没有看到这封邮件。”他因此判断,正是这个受信任的电话号码,帮助“向俊权”加入了自己的账户。

报警后,小亚也在小红书上分享了自己被盗刷的经历,跟帖留言者众多,原来近期有相似经历的受害者并不少,且多发于广东地区。

无独有偶。来自汕头的标标(化名)告诉「商业秀」,同样是在11月13日下午,她也收到了一条1069开头的短信,让她进行苹果账户认证。

标标在网站中输入苹果账号及密码后,还进行了二级验证。直到11月17日凌晨4点,一个名为“刘静波”的ID进入了标标的家庭账户,共消费了17笔,其中15笔分别为328元的消费用于《热血传奇》游戏的充值,还有一两笔小额消费用于快手充值,因为银行卡余额不够,甚至开始扣除标标花呗的额度。

当时标标立刻发现了消费异常,但让标标无力的是,他并不知道这一盗刷行为是源于什么,只能挨个进行账户解绑、关闭自己的免密支付,并将“刘静波”剔除了自己的家庭用户。

与小亚相同的是,标标也曾点进一个“钓鱼网站”,且自己的苹果ID也开通了支付宝免密支付。不同的是,标标的手机并未出现别的受信任手机账号。

目前,标标正在苹果进行退款申诉,但初次申诉已经失败。标标翻看了小红书众多分享贴后表示,“只有两次申诉机会,大多数人两次申诉都没有成功,我现在黑猫投诉、315等渠道都试过了,但我感觉追回可能性也不大。”

-Business Show-02

款项追回难

谁该负责?

实际上,早在2018年10月,就曾有全国多地苹果手机用户反映称,他们在苹果支付上遭遇了盗刷事件。当时据多家媒体报道称,被盗刷人数超700人。

「商业秀」在黑猫投诉上搜索发现,围绕苹果盗刷的投诉达到了4536条。今年8月,小红书也涌现多位盗刷受害者,他们的经历大多与小亚、标标类似,都是通过一个钓鱼网站获取用户的账号和密码,而这些用户也都绑定了支付宝免密交易。且多发于凌晨,在多数人都已熟睡的时刻,一位陌生用户开始加入受害者的家庭用户,盗刷开启。

小红书上多位受害者表示,他们被盗刷的资金去向不同,有的用于《王者荣耀》、《热血传奇》等游戏中购买游戏货币,有的用于快手、抖音等软件充值。

在一些案例分享中,也有用户表示,未抹除账户信息但丢失的手机设备也可能会被盗刷,还可能会出现被“二次盗刷”。而且这些被二次盗刷的用户在修改了账号密码后,还可能会再次被盗刷。

他们交流总结发现,背后的流程何其相似:用户的账户在不知情的情况下,被人绑定了一个“受信任电话号码”。通过这个“受信任电话号码”,骗子可以再次对他们的账户进行操作。

盗刷发生后,追回款项成为最大的难题。如今,多位受害者首选报警。据「商业秀」了解,报警的多位受害者也均表示知道款项追回的可能性不大;也有用户联系到最终款项流向的游戏公司,但游戏公司即使配合,也难以找回。

一位被盗刷至《三国:谋定天下》游戏充值的用户称,他在联系该公司客服后得到反馈,如果警方联系,他们会进行配合。

标标则告诉「商业秀」,“我从来就没有下载过《热血传奇》这个游戏,也联系不上那个公司。在我剔除‘刘静波’这个账户后,具体的消费信息在那个账户上,我也就再也查不到了,又怎么追回呢?”

最终,多位被盗刷的苹果用户将矛头指向了苹果公司。 小亚告诉「商业秀」,“我完全不知道,如果一个人加入到你的家庭账户里面去,他就有权使用我绑定了支付宝免密功能的苹果支付账户,在苹果商店进行消费。在别人加入我的苹果家庭用户这个过程中,苹果难道不需要再次获得我的授权吗?”

而因别人遭遇的“二次盗刷”经历,如今标标即使修改了自己的苹果账号密码,依然解绑了自己苹果手机上的所有银行卡。

他提出了和小亚一样的疑问,“我不明白为什么家庭共享可以不需要经过同意直接加入,且可以进行资金操作。”

针对家庭账户这一问题,「商业秀」致电了苹果客服。苹果客服表示,如果用户开通了iMessages功能,当别人获得了账户密码后,可以通过登录账号,发送iMessages信息邀请别人加入自己的家庭用户,在这个过程中,不需要二次授权。

面对多位用户遭遇盗刷问题,苹果客服则表示,建议遭遇此类情况的用户可以进行报警处理,并提高安全意识。

而苹果本是为了用户方便的家庭群组功能,成了此次盗刷的漏洞。对此,「商业秀」询问了相关安全专家,对方称,“这应该属于社工攻击(社交工程欺诈,包括网络钓鱼信息、虚假支持来电和其他诈骗)。简单而言,这就是利用了一些用户交互过程当中的漏洞,而不是针对苹果系统本身发起的涉及到安全技术的攻击。”

该安全专家同时表示,苹果在流程上也存在一定失误,苹果觉得这些风险不会被利用,或是经过了一次或者两次简单的安全验证就放行,但其实被黑灰产利用后,这些漏洞就会放大。

他指出,苹果对此肯定是有一定责任的,起码发生盗刷事件后,首先,作为平台方,应该快速反应并制止;其次,应该尽到告知义务,用户的账户要经过多次验证,尽可能地保护苹果用户的账户安全。

北京市中闻律师事务所合伙人李亚告诉「商业秀」,“用户需要去核实这种网站真伪的义务,类似短信都要慎重打开,涉及支付指令更应慎重。苹果在产品设计上并不是‘合规不合规’的问题,只能说,它可能会存在一定缺陷。”

针对已经出现盗刷情况的用户,李亚提醒,“第一时间肯定是要报警;其次,相应人员还是要跟苹果公司进行沟通,也说明一下这种自己被盗刷的这种原因,并且要告知苹果公司,建议他们针对客户的损失是不是要承担相应的责任。如果是多批用户出现类似情况联系了苹果却没有改善,那用户可以向有关监管部门进行反映。” 「完」

(应受访者要求,文中小亚、标标等均为化名)

    本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。

    +1
    收藏
    我要举报
            查看更多

            扫码下载澎湃新闻客户端

            沪ICP备14003370号

            沪公网安备31010602000299号

            互联网新闻信息服务许可证:31120170006

            增值电信业务经营许可证:沪B2-2017116

            © 2014-2024 上海东方报业有限公司

            反馈