今天小編分享的科技經驗:手機ID頻遭盜刷,蘋果安全百密一疏?,歡迎閱讀。
頻繁出現的蘋果賬戶 " 盜刷事件 " 是如何發生的?
注意了!如果你的蘋果手機綁定了支付寶的免密交易系統,那麼有可能存在賬戶被盜刷的風險。
近日,多位蘋果手機用戶在小紅書等多個渠道反饋,自己的蘋果 ID 被盜刷,随後其蘋果 ID 綁定的支付寶免密賬戶被用于多類型線上消費。
據不完全統計,多位用戶因此造成的人均經濟損失達數千元。「 商業秀」在黑貓投訴上搜索 " 蘋果盜刷 ",相關投訴共計 4536 條。
而在小紅書上,被盜刷的經歷分享帖及款項追回分享帖也屢見不鮮。
在一些被盜刷的用戶微信群裡,有人表示,這是一種從沒遇到過的新型詐騙方式;有人則表示,這也許涉及蘋果安全存在技術漏洞問題。
這些頻繁出現的蘋果手機 ID" 被盜刷事件 ",究竟是如何發生的?誰該負責?除了報警,等待追回款項。蘋果用戶們,又該如何防範?
陌生用戶加入家庭賬戶凌晨被盜刷十數筆
11 月 13 日晚,在深圳工作的小亞(化名)收到一條短信,短信提示小亞的 Apple 賬戶出現異常,需要點擊鏈接開啟雙重驗證。
據小亞對「商業秀」回憶,這是一個高度復刻蘋果官網的網站,細節與蘋果官網無異,且上面有小亞的蘋果 ID,需要小亞輸入密碼進行驗證,在小亞輸入密碼後顯示驗證成功。
奇怪的是,在 11 月 17 日早上,小亞起床後發現自己的賬戶已經被盜刷了近 3000 元。
事件發生後,小亞立刻報警,在與警察的共同梳理中,事件全貌似乎浮出水面:
凌晨 4 點 28 分開始,一個名為 " 向俊權 " 的賬戶加入小亞的 " 蘋果家庭賬戶 ",往一款名為《熱血傳奇》的遊戲進行了共 13 筆消費,共計人民币 2880 元,此時,因多筆消費都是類似金額,小亞的銀行發現異常,鎖定了其銀行賬戶。随後,在 4 點 46 分," 向俊權 " 馬上就退出了小亞家庭賬戶,然後抹去他所有的痕迹。
那麼," 向俊權 " 是如何加入到小亞的家庭賬戶的呢?
小亞翻開自己的 iCloud 郵箱發現,11 月 13 日下午他曾收到一封提示,有個國外的号碼加入了 " 雙重驗證的安全手機範疇 "。
小亞告訴「商業秀」,"iCloud 郵箱并不常用,在被盜刷之前,我并沒有看到這封郵件。" 他因此判斷,正是這個受信任的電話号碼,幫助 " 向俊權 " 加入了自己的賬戶。
報警後,小亞也在小紅書上分享了自己被盜刷的經歷,跟帖留言者眾多,原來近期有相似經歷的受害者并不少,且多發于廣東地區。
無獨有偶。來自汕頭的标标(化名)告訴「商業秀」,同樣是在 11 月 13 日下午,她也收到了一條 1069 開頭的短信,讓她進行蘋果賬戶認證。
标标在網站中輸入蘋果賬号及密碼後,還進行了二級驗證。直到 11 月 17 日凌晨 4 點,一個名為 " 劉靜波 " 的 ID 進入了标标的家庭賬戶,共消費了 17 筆,其中 15 筆分别為 328 元的消費用于《熱血傳奇》遊戲的充值,還有一兩筆小額消費用于快手充值,因為銀行卡餘額不夠,甚至開始扣除标标花呗的額度。
當時标标立刻發現了消費異常,但讓标标無力的是,他并不知道這一盜刷行為是源于什麼,只能挨個進行賬戶解綁、關閉自己的免密支付,并将 " 劉靜波 " 剔除了自己的家庭用戶。
與小亞相同的是,标标也曾點進一個 " 釣魚網站 ",且自己的蘋果 ID 也開通了支付寶免密支付。不同的是,标标的手機并未出現别的受信任手機賬号。
目前,标标正在蘋果進行退款申訴,但初次申訴已經失敗。标标翻看了小紅書眾多分享貼後表示," 只有兩次申訴機會,大多數人兩次申訴都沒有成功,我現在黑貓投訴、315 等渠道都試過了,但我感覺追回可能性也不大。"
款項追回難誰該負責?
實際上,早在 2018 年 10 月,就曾有全國多地蘋果手機用戶反映稱,他們在蘋果支付上遭遇了盜刷事件。當時據多家媒體報道稱,被盜刷人數超 700 人。
「商業秀」在黑貓投訴上搜索發現,圍繞蘋果盜刷的投訴達到了 4536 條。今年 8 月,小紅書也湧現多位盜刷受害者,他們的經歷大多與小亞、标标類似,都是通過一個釣魚網站獲取用戶的賬号和密碼,而這些用戶也都綁定了支付寶免密交易。且多發于凌晨,在多數人都已熟睡的時刻,一位陌生用戶開始加入受害者的家庭用戶,盜刷開啟。
小紅書上多位受害者表示,他們被盜刷的資金去向不同,有的用于《王者榮耀》、《熱血傳奇》等遊戲中購買遊戲貨币,有的用于快手、抖音等軟體充值。
在一些案例分享中,也有用戶表示,未抹除賬戶信息但丢失的手機設備也可能會被盜刷,還可能會出現被 " 二次盜刷 "。而且這些被二次盜刷的用戶在修改了賬号密碼後,還可能會再次被盜刷。
他們交流總結發現,背後的流程何其相似:用戶的賬戶在不知情的情況下,被人綁定了一個 " 受信任電話号碼 "。通過這個 " 受信任電話号碼 ",騙子可以再次對他們的賬戶進行操作。
盜刷發生後,追回款項成為最大的難題。如今,多位受害者首選報警。據「商業秀」了解,報警的多位受害者也均表示知道款項追回的可能性不大;也有用戶聯系到最終款項流向的遊戲公司,但遊戲公司即使配合,也難以找回。
一位被盜刷至《三國:謀定天下》遊戲充值的用戶稱,他在聯系該公司客服後得到反饋,如果警方聯系,他們會進行配合。
标标則告訴「商業秀」," 我從來就沒有下載過《熱血傳奇》這個遊戲,也聯系不上那個公司。在我剔除‘劉靜波’這個賬戶後,具體的消費信息在那個賬戶上,我也就再也查不到了,又怎麼追回呢?"
最終,多位被盜刷的蘋果用戶将矛頭指向了蘋果公司。小亞告訴「商業秀」," 我完全不知道,如果一個人加入到你的家庭賬戶裡面去,他就有權使用我綁定了支付寶免密功能的蘋果支付賬戶,在蘋果商店進行消費。在别人加入我的蘋果家庭用戶這個過程中,蘋果難道不需要再次獲得我的授權嗎?"
而因别人遭遇的 " 二次盜刷 " 經歷,如今标标即使修改了自己的蘋果賬号密碼,依然解綁了自己蘋果手機上的所有銀行卡。
他提出了和小亞一樣的疑問," 我不明白為什麼家庭共享可以不需要經過同意直接加入,且可以進行資金操作。"
針對家庭賬戶這一問題,「商業秀」致電了蘋果客服。蘋果客服表示,如果用戶開通了 iMessages 功能,當别人獲得了賬戶密碼後,可以通過登錄賬号,發送 iMessages 信息邀請别人加入自己的家庭用戶,在這個過程中,不需要二次授權。
面對多位用戶遭遇盜刷問題,蘋果客服則表示,建議遭遇此類情況的用戶可以進行報警處理,并提高安全意識。
而蘋果本是為了用戶方便的家庭群組功能,成了此次盜刷的漏洞。對此,「商業秀」詢問了相關安全專家,對方稱," 這應該屬于社工攻擊(社交工程欺詐,包括網絡釣魚信息、虛假支持來電和其他詐騙)。簡單而言,這就是利用了一些用戶互動過程當中的漏洞,而不是針對蘋果系統本身發起的涉及到安全技術的攻擊。"
該安全專家同時表示,蘋果在流程上也存在一定失誤,蘋果覺得這些風險不會被利用,或是經過了一次或者兩次簡單的安全驗證就放行,但其實被黑灰產利用後,這些漏洞就會放大。
他指出,蘋果對此肯定是有一定責任的,起碼發生盜刷事件後,首先,作為平台方,應該快速反應并制止;其次,應該盡到告知義務,用戶的賬戶要經過多次驗證,盡可能地保護蘋果用戶的賬戶安全。
北京市中聞律師事務所合夥人李亞告訴「商業秀」," 用戶需要去核實這種網站真偽的義務,類似短信都要慎重打開,涉及支付指令更應慎重。蘋果在產品設計上并不是‘合規不合規’的問題,只能說,它可能會存在一定缺陷。"
針對已經出現盜刷情況的用戶,李亞提醒," 第一時間肯定是要報警;其次,相應人員還是要跟蘋果公司進行溝通,也說明一下這種自己被盜刷的這種原因,并且要告知蘋果公司,建議他們針對客戶的損失是不是要承擔相應的責任。如果是多批用戶出現類似情況聯系了蘋果卻沒有改善,那用戶可以向有關監管部門進行反映。"
(應受訪者要求,文中小亞、标标等均為化名)
本文來自微信公眾号 " 商業秀 ",作者:商業秀大消費組。
