一直以來，信息的安全性都是蘋果的“金字招牌”。作爲全球知名的科技公司，蘋果通過相對完善的加密技術和隱私政策來保護用戶的個人信息，並強調用戶的個人信息高於一切。

然而就在本周，有網友稱自己丈母娘的 iPhone 在开啓了 Apple ID 雙重認證後，仍然被“釣魚”騙走了一萬五千元，一時間引發了用戶和社會公衆對於蘋果手機安全性的擔憂。

那么關於網友丈母娘被騙一萬五千元這件事的經過是如何的呢？咱們來看看當事人，也就是 V2EX 社區用戶 airycanon  是怎么說的：

給大家再簡單梳理一下，事情的經過大概是：

當事人的家人下載了一個名爲《菜譜大全》的 App，在登錄時選擇了使用 Apple ID 授權登錄。

這裏敲一個重點，當事人的家人在登錄選項時未選擇隱藏自己的 Apple ID，這也導致了騙子直接獲取到了用戶完整的 Apple ID 信息，所以我們在使用 Apple ID 登錄第三方網站時，盡量選擇隱藏咱們的郵箱地址。

隨後，App 內彈出了一個密碼輸入框，此時騙子便獲取了全部的账號、密碼。並且根據當事人強調，在整個過程中，都沒有出現雙重認證的彈窗。

注意一下，這裏App 內彈出的密碼輸入框顯然是一個仿照系統界面設計的密碼輸入界面，尚不說普通消費者能否分辨，就連像我這種行業從業者不仔細觀察的話，也很難分辨。

這裏是 AppLeID，而不是 Apple ID

而爲啥沒有觸發蘋果的雙重認證？

根據博主 @BugOS 技術組 的測試，這是由於騙子通過受信設備中的應用拉起隱藏 WebView 訪問 appleid.apple.com，因此無需進行雙重驗證，用戶只要進行簡單的 Face ID 認證即可。

事情到這裏，騙子就已經獲取了用戶的账號和密碼，並且成功繞過 Apple ID 的雙重認證，在蘋果官網添加了自己的手機號。如果用戶的 Apple ID 中綁定了例如支付寶、微信等支付方式，那么騙子的騙局便形成了成功的閉環，通過商店購物的形式瘋狂套現。

另外值得注意的是，這裏的騙子爲了防止用戶收到支付交易信息的短信，提前對用戶的手機進行了遠程的重置。對於很多沒有日常使用 iCloud 進行數據備份的用戶來說，可能會比金錢的損失更麻煩。

以上便是該網友丈母娘被騙的全過程，總的來看騙子的騙術並不高明，只是利用了蘋果系統的一個邏輯漏洞，獲取到了用戶的账號、密碼，並通過軟件內置的瀏覽器成功繞過雙重認證直接登錄，最後綁定上騙子自己的手機號便大功告成。

那么我們應該怎樣避免被騙呢？我們總結了以下幾點：

1.不下載來路不明的App；

2.在其他網站內登錄 Apple ID 時，盡量選擇隱藏自己的郵箱地址；

3.定期更換 Apple ID 的密碼；

4.定期檢查自己 Apple ID 下綁定的訂閱服務；

5.Apple ID 綁定的免密支付账戶，盡量不要存有太多余額。

另外，博主 @BugOS 技術組 也提供了一個防釣魚的小技巧：當 iPhone 上出現輸入 Apple ID 密碼的窗口時，按 Home 鍵或上劃手勢嘗試退出一下，只要能退出的都是釣魚網站！

---

標題：網友丈母娘被盜刷15000，iPhone 也不再安全了？

地址：https://www.utechfun.com/post/243085.html