今早我爹发现微信支付的账单内,有四笔发生在凌晨的来自 Apple 的扣款,每笔 999.99 ,一共 4000 元,确认为盗刷情况。 随后便致电了 400-666-8800 的 Apple 客服,客服请求使用 facetime 进行指导,以提供相关信息,在获取到商户单号等信息之后客服承诺三个工作日内将钱款返回。 中午我爹告诉我客服使用 facetime 的情况,因为最近运营商发送的关于使用 facetime 诈骗的提醒,我担心这其中的安全隐患,就重新在 Apple support app 中请求了人工服务,并了解到了今早的电话客服是正确的,并且钱款追回也在进行中,确认了 Apple 客服使用 facetime 进行指导的情况存在。 盗刷的过程推测是,因为我妹与我爹是有一个家庭组的,用于管理我妹的儿童账户相关的限制操作。而对方则是盗用了我爹地账号后,更改了 AppleID 的绑定邮箱,并且邀请了一个陌生账号进入家庭组,通过这个陌生账号使用了家庭组的支付方式进行盗刷操作。 现在是正在等待钱款返回,另外是不知道 Apple ID 是如何泄露且对方是如何通过两步验证的。
1
czfy 265 天前 1
https://www.v2ex.com/t/959041
当时的情况是 “对方在 App 内置了一个 Webview ,然后访问 appleid.apple.com/sign-in ,这一步系统会出现 Apple ID 的弹窗,如果人脸识别通过了或者输入了正确的密码,这个页面就登录了(可以理解为在内置的 safafi 打开了 Apple ID 的登录页面)。 接下来会出现密码弹窗,受害者输入密码之后,这个 Webview 可以注入一些 js 获取到 Cookie ,然后访问 appleid.apple.com/account/manage ,通过一些自动接收验证码的机制,配合 Cookie 和密码,就可以在受害者 Apple ID 的信任号码中加入他自己的号码,用来接收双重认证的短信。” |
2
dyc12389 265 天前
难道这个 webview 拉起 sso 登陆的问题,苹果就一直放着没管?
|
4
joeyzhou 265 天前 1
家庭组满 6 个人就不怕了
|
6
liuleisail 265 天前 via iPhone
家里老头不知道自己的 apple id ,我都是让他录入指纹,老太太直接是面容。这样就安全了很多
|
7
CharTyr OP @liuleisail 我爹是知道自己的 AppleID 这些的,估计是因为平时不注意下载了一些钓鱼 app 导致泄露了
|
9
asdsjw 264 天前
@czfy 现在的盗刷哪里还需要有这么技术含量东西?,直接 wx 或 a 反响绑定(扫描二维码确认密码)就行了
其实整个过程是知道骗局的,只能说人心复杂的 很多人是明知道有问题只是想着人家盗刷不会这么快,哪知道立马没了 |
10
asdsjw 264 天前
1. 尤其是家里人,需要告知的就是不要随便扫描人家二维码支付
2. 不要脱离平台上交易,就是脱离平台支付款项 3. 很多人会发钓鱼短信,让用户点链接,用 wx 或 a 进行反向绑定 |
11
asdsjw 264 天前
还有账户密码其实有很多诈🌲,利用人心落点让人输入账户密码的,比如购买低价 vip
更多不是用什么技术来骗,这个才是防不胜防的 |
12
asdsjw 264 天前
现在这个诈骗链条完善的,楼主说的附言那条,其实就是低价充值各类 vip ,充值的人很多人被骗的
楼主说的还回来的人居然没被骗 也是小概率事情了 |
13
asdsjw 264 天前
而且我认为,这个所谓还钱回来的人,很有可能是操作这个事情的人,可能是第一次做这个事胆子小,所以才还钱回来
因为这种找人代充,是不可能知道具体 apple id 他是一种反向绑定操作 |
17
asdsjw 264 天前
而且我还还留意到很多都 apple id 都是直接给人家的,人家用的诈术
现实就是不需要懂任何技术 |
18
asdsjw 264 天前
漏洞不光发生在 apple 那头,就是大家都有漏洞,所以。。。😮💨
|