7 月 12 晚上发生的事情,
之前一直以为开了双重认证就高枕无忧,经过排查后,基本确定是被钓鱼了:
丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。
7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露,如图
接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招,如图
有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。
登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证,如图
到这一步,他已经掌握了受害者 Apple ID 的所有权限。
接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品,如图
整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。
我在 Apple 400 客服尝试了多种方式,最终都失败了:
目前还能尝试的方式:
101
dididi9527 302 天前
@GHvyuR7N #87 确实很困惑,不知道为什么不放 app 的链接
|
102
Uyloal 302 天前
@qinxiaozhi 也许开发者已经看到这篇帖子了 刚刚下载之后就开始闪退
|
103
airycanon OP @dididi9527 我在 98 楼回复过了。
|
104
bojackhorseman 302 天前
😨
|
106
dididi9527 302 天前
@qinxiaozhi #95 可能开发者也注意到这个帖子了,于是关了后台
|
107
1423 302 天前
|
109
hellomynameis 302 天前 via Android
@Archeb 这么高级的钓鱼手段啊,哈人
这种软件如果能上架商店,那是苹果的锅了 |
110
dididi9527 302 天前
@airycanon #103 理解,这看起来已经算是苹果的重大漏洞了,尽量收集好证据,看看能不能起诉苹果
|
112
texsd123 302 天前 via Android
自己下载试了下,发现软件没有登录窗口了,点一下就是“校验失败,请下载最新版本”,但是已经最新了,而且什么都加载不出来
|
113
Jiajin 302 天前
@airycanon 它代码里执行了一段 js ,然后自动填充了手机号,然后自动点了继续,再自动输入之前骗到的密码,这一系列步骤,可能你是看不到的,它用个遮罩层挡住就行了。
|
114
daiisdai 302 天前
iOS 那么安全
|
115
Archeb 302 天前 via iPhone
@airycanon 这是添加的受信手机号,从你提供的图片可以看出是一个+1 的号码,这就很简单了。
北美 VOIP 提供商非常非常多,也可以使用 API 接入。在做这个操作的时候,他只需要从号池中随机抽取一个号码,然后填入这里并获取验证码,等后端 API 返回验证码然后填进去就完成整个操作了,全程自动化。 |
116
alihbaba 302 天前 3
|
117
alihbaba 302 天前 29
|
118
alihbaba 302 天前
|
120
alihbaba 302 天前
下载链接只有苹果的估计只是盗取 Apple ID 暂未发现提交安卓入口
|
124
zhaozs1 302 天前 1
域名 yime888.com
注册商 Xin Net Technology Corporation 参照页 - 域名持有人/机构名称 - 域名持有人/机构邮箱 - 创建时间 2022-04-09 更新时间 2023-01-03 过期时间 2024-04-09 域名服务器 whois.verisign-grs.com 域名服务器 whois.paycenter.com.cn DNS 服务器 ns11.xincache.com - 129.211.176.209 DNS 服务器 ns12.xincache.com - 36.155.149.176 域名状态 默认的正常状态 https://icann.org/epp |
126
lqcc 302 天前
真是防不胜防。
|
127
zhaozs1 302 天前
IP: 103.229.183.139
位置: 香港, 東區, 柴灣 经纬度: 22.2661, 114.247 时区: Asia/Hong_Kong 运营商: MOACK.Co.LTD, Icidc Limited ASN: AS136800 MOACK.Co.LTD |
128
nirvanahh 302 天前
插眼,蹲个后续情况
|
130
alihbaba 302 天前
他们这个是从去年八月份开始的
|
133
JusticeLanding 302 天前
蹲
|
136
barbery 302 天前
这个就很离谱了,严重关注
|
139
Vistaa 302 天前 via iPhone
是不是被盗的 ID 成为了家庭组织者,邀请了小号 ID 加入了家人共享?然后小号 ID 内购,这样扣款直接从被盗 ID 扣款?
|
140
alihbaba 302 天前
找到一个和你说的时间差不多的 2023-07-11 18:19:59
第一个字母 Q 你看对不对 密码 |
145
mcluyu 302 天前 1
支付宝开通 Apple 免密的时候貌似默认勾选了支付限额 300 块, 这种时候支付限额还是很有用的。
|
147
Orz 302 天前
Apple 就是垃圾。
|
148
c7in7 302 天前
楼主,是否可以转到其他平台(加出处)让更多人知道这种骗术?
|
151
really28 302 天前
吓得我赶紧关了十来个用 Apple ID 的 APP
|
153
fuliti 302 天前
是有点可怕,不过,在我觉得,任何 APP 向你索要 ID 密码的时候,基本上可以卸载了。苹果手机,唯一安全的底线,就是这个密码
|
156
dsb2468 302 天前
|
159
Senorsen 302 天前 1
卧槽,这算是漏洞+社工了,苹果这些客服顾问真出事时一点用也没有,简直了。
|
160
AkaHanshan 302 天前 1
哈人,这么严重的漏洞 Apple 居然熟视无睹还留着呢
|
161
dsb2468 302 天前
这家伙不止收集 COOKIE ,还在收集抖音+快手的数据
|
162
alihbaba 302 天前 11
弄到权限了
|
168
alihbaba 302 天前
那位老哥偷偷的裸机搞得 挂个代理
|
173
x1abin 302 天前 9
@dearmymy 国人日常反思党你好,如果你说的属实,那不是苹果自己售后策略的问题吗?国内淘宝京东都有 7 天无理由退货功能,人家不一样运作得好好的?我是亲自体验过苹果售后的高傲和拉跨的,竟然还有你这样帮苹果洗的。
|
174
yghack 302 天前 3
按照这个思路,封装了一个 webview,测试了一下,确实不需要 2FA
|
176
demonchang 302 天前
|
177
alihbaba 302 天前
@demonchang 是的
|
178
dsb2468 302 天前
|
179
alihbaba 302 天前
打包的时候隐蔽点啊
|
180
feifeichen 302 天前 1
笑死,骗子回头一看,家都被偷了
|
181
feifeichen 302 天前
另外建议别在这帖子暴露太多信息
|
183
dsb2468 302 天前
@alihbaba 你把他网站文件删了呀?我还准备给他改下域名地址来着。。
https://app.yime888.com/api/updata_urls.php?url=pianzi&url2=pianzi&url3=pianzi&num=1&txt1=1&txt2=1 |
185
alihbaba 302 天前 1
遂把他东西打包了 日志还全删了
|
186
alihbaba 302 天前
真他妈牛逼 真会装逼
|
189
samvvv 302 天前
谁给删了,有没有大佬备份了发一下。
|
190
bluekz 302 天前
好家伙,这不是 fbi warning 吗!
|
191
freekeeper 302 天前 via iPhone
打包给楼主应该有助于起诉😨
|
192
BanShe 302 天前
看一眼都 404
|
193
samvvv 302 天前 1
被删除前主页代码: https://anonymfile.com/Qp6zB/index.php
|
194
DigitalG 302 天前
要不要提交到 https://news.ycombinator.com 那边?感觉也容易在海外引起关注。关注的人多了,Apple 多少会有下文的吧
|
197
windorz 302 天前
插眼, 过于离谱, 关注一下.
|
198
aero99 302 天前
这个 APP 是在国区还是其他区下载的呢,这种 APP 也能上架应该是苹果审核的责任
|
200
SNOOPY963 302 天前 1
当时有篇报道说开了双重认证还被盗了我还不信
|