iOS 轻松被破解,双重验证也被盗刷
估计选择使用 iPhone 手机的用户都认为它的 iOS 系统非常简洁、安全,但真的是这样吗?
最近有网友在网上爆料称,就算开通了双重认证的 iOS 设备,也被盗刷。
(资料图片仅供参考)
原来这位网友的丈母娘被 App Store 应用商店里的“菜谱类”App 骗走了 1.6 万元。
双重认证是最近十多年来最普遍的一种认证方式,而且安全系数很高,比如我们在网上银行时,我们不仅要输入密码,而且我们还要输入手机短信验证码。
至于开通了双重认证还被盗刷,这什么怎么回事?
事情是这样的,网友的丈母娘在苹果应用商店下载了一个名为“菜谱大全”的应用,本来下载一个应用并没有什么,但它的登录方式却需要使用 Apple ID 账号授权登录。
登录后它的界面有弹出 ID 密码输入框,不得不说这个界面与苹果正版的几乎一模一样。别说是长辈了,我开始看了都以为是苹果官方的。
这里说明一点,一般需要手动输入 ID 密码是识别人脸失败后才会出现了,但这次的出现其实就是埋了颗“雷”。
不过它这个输入 ID 密码的弹窗还是有破绽的,首先苹果官方的是 Apple ID,而这个 App 上面却显示的是 AppLeID,另外登录也写成了登陆。
说白了,它就是利用“障眼法”进行钓鱼罢了,只不过长辈或者粗心的用户可能并不会注意到。
网友的丈母娘将信息全部输入之后,骗子就获取了她的 ID 账号和密码,但骗子并没有急着去盗刷,而是登录后在双重认证的信任号码中将自己的号码弄了进去。
其实骗子的目的很简单,就是以后自己想登录就登录,想干嘛就干嘛,因为他也完全掌控了这个账号的权限。
于是他先创建了一个“家庭共享”,并加入了另一个小号,由这个小号购买 App 中的虚拟产品,购买后在利用丈母娘的账号付款,这样盗刷就形成了。
另外骗子为了让丈母娘无法第一时间收到微信支付的消息,他们还将丈母娘 iPhone 上的资料全部抹除了。
最后这位网友还整理了一份时间表,大家可以看一下,从开始到结束骗子只用了 7 分钟左右。
虽然这位网友已经报警,而且他也与苹果官方客服进行了交流,但苹果客服表示拒绝退款:
另外有程序员表示,骗子在这个 App 中内置了一个 Webview 的组件,并隐藏了访问 Apple ID 账号管理的页面控件。
说白了,就是这位网友的丈母娘在 App 登录 Apple ID 时,就是在帮骗子登录 Apple ID 账号管理的官网。
或许这里就有朋友会问了,苹果审核机制不是很严的吗?为什么还会上线这种 App?
其实这个操作很简单,就是提交审核的时候是一套,审核通过后又是另外一套。
总之现在任何系统的漏洞都会被骗子利用,至于我们要如何防范?这个我们首先看弹窗信息,比如这个 App 上错的地方还是有点多的。
另外如果出现输入 Apple ID 密码时我们上划一下屏幕,又或者按 Home 键,只要能退出就是骗子的 App,如果不能退出就是官方的。
最重要的一点,不绑定任何支付渠道,需要时在弄也可以,免密支付也最好别上,我用手机这么久,所有平台的免密支付都没有设置。