一直以來,信息的安全性都是蘋果的“金字招牌”。作爲全球知名的科技公司,蘋果通過相對完善的加密技術和隱私政策來保護用戶的個人信息,並強調用戶的個人信息高於一切。
然而就在本周,有網友稱自己丈母娘的 iPhone 在开啓了 Apple ID 雙重認證後,仍然被“釣魚”騙走了一萬五千元,一時間引發了用戶和社會公衆對於蘋果手機安全性的擔憂。
那么關於網友丈母娘被騙一萬五千元這件事的經過是如何的呢?咱們來看看當事人,也就是 V2EX 社區用戶 airycanon 是怎么說的:
給大家再簡單梳理一下,事情的經過大概是:
當事人的家人下載了一個名爲《菜譜大全》的 App,在登錄時選擇了使用 Apple ID 授權登錄。
這裏敲一個重點,當事人的家人在登錄選項時未選擇隱藏自己的 Apple ID,這也導致了騙子直接獲取到了用戶完整的 Apple ID 信息,所以我們在使用 Apple ID 登錄第三方網站時,盡量選擇隱藏咱們的郵箱地址。
隨後,App 內彈出了一個密碼輸入框,此時騙子便獲取了全部的账號、密碼。並且根據當事人強調,在整個過程中,都沒有出現雙重認證的彈窗。
注意一下,這裏App 內彈出的密碼輸入框顯然是一個仿照系統界面設計的密碼輸入界面,尚不說普通消費者能否分辨,就連像我這種行業從業者不仔細觀察的話,也很難分辨。
這裏是 AppLeID,而不是 Apple ID
而爲啥沒有觸發蘋果的雙重認證?
根據博主 @BugOS 技術組 的測試,這是由於騙子通過受信設備中的應用拉起隱藏 WebView 訪問 appleid.apple.com,因此無需進行雙重驗證,用戶只要進行簡單的 Face ID 認證即可。
事情到這裏,騙子就已經獲取了用戶的账號和密碼,並且成功繞過 Apple ID 的雙重認證,在蘋果官網添加了自己的手機號。如果用戶的 Apple ID 中綁定了例如支付寶、微信等支付方式,那么騙子的騙局便形成了成功的閉環,通過商店購物的形式瘋狂套現。
另外值得注意的是,這裏的騙子爲了防止用戶收到支付交易信息的短信,提前對用戶的手機進行了遠程的重置。對於很多沒有日常使用 iCloud 進行數據備份的用戶來說,可能會比金錢的損失更麻煩。
以上便是該網友丈母娘被騙的全過程,總的來看騙子的騙術並不高明,只是利用了蘋果系統的一個邏輯漏洞,獲取到了用戶的账號、密碼,並通過軟件內置的瀏覽器成功繞過雙重認證直接登錄,最後綁定上騙子自己的手機號便大功告成。
那么我們應該怎樣避免被騙呢?我們總結了以下幾點:
1.不下載來路不明的App;
2.在其他網站內登錄 Apple ID 時,盡量選擇隱藏自己的郵箱地址;
3.定期更換 Apple ID 的密碼;
4.定期檢查自己 Apple ID 下綁定的訂閱服務;
5.Apple ID 綁定的免密支付账戶,盡量不要存有太多余額。
另外,博主 @BugOS 技術組 也提供了一個防釣魚的小技巧:當 iPhone 上出現輸入 Apple ID 密碼的窗口時,按 Home 鍵或上劃手勢嘗試退出一下,只要能退出的都是釣魚網站!
標題:網友丈母娘被盜刷15000,iPhone 也不再安全了?
地址:https://www.utechfun.com/post/243085.html