V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
CharTyr
V2EX  ›  Apple

记一次家人 Apple ID 支付方式被盗刷的事件

  •  
  •   CharTyr · 234 天前 · 2399 次点击
    这是一个创建于 234 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今早我爹发现微信支付的账单内,有四笔发生在凌晨的来自 Apple 的扣款,每笔 999.99 ,一共 4000 元,确认为盗刷情况。 随后便致电了 400-666-8800 的 Apple 客服,客服请求使用 facetime 进行指导,以提供相关信息,在获取到商户单号等信息之后客服承诺三个工作日内将钱款返回。 中午我爹告诉我客服使用 facetime 的情况,因为最近运营商发送的关于使用 facetime 诈骗的提醒,我担心这其中的安全隐患,就重新在 Apple support app 中请求了人工服务,并了解到了今早的电话客服是正确的,并且钱款追回也在进行中,确认了 Apple 客服使用 facetime 进行指导的情况存在。 盗刷的过程推测是,因为我妹与我爹是有一个家庭组的,用于管理我妹的儿童账户相关的限制操作。而对方则是盗用了我爹地账号后,更改了 AppleID 的绑定邮箱,并且邀请了一个陌生账号进入家庭组,通过这个陌生账号使用了家庭组的支付方式进行盗刷操作。 现在是正在等待钱款返回,另外是不知道 Apple ID 是如何泄露且对方是如何通过两步验证的。

    第 1 条附言  ·  234 天前
    确实是通过在 Apple ID 的信任号码中加入盗用者自己的号码,用来接收双重认证的短信的方式进行盗用的。
    并且,今天下午有一个人自称通过 appleID 的手机号加上了我爹的微信,并说是自己在找代充的时候发现是使用他人 appleID 的方式充钱,觉得是参与了诈骗之类的,自己良心过不去,将 4000 元以微信转账的方式发给了我爹,也确认了收款。
    想着是后续假如苹果那边退款回来了,并且那人的游戏充值被回收,就有可能会再找回来,那时候再把多出来的 4000 还给他,假如没有回收的话,那就真的是白拿 4000 块钱了
    18 条回复    2024-04-08 21:25:13 +08:00
    czfy
        1
    czfy  
       234 天前   ❤️ 1
    https://www.v2ex.com/t/959041

    当时的情况是
    “对方在 App 内置了一个 Webview ,然后访问 appleid.apple.com/sign-in ,这一步系统会出现 Apple ID 的弹窗,如果人脸识别通过了或者输入了正确的密码,这个页面就登录了(可以理解为在内置的 safafi 打开了 Apple ID 的登录页面)。

    接下来会出现密码弹窗,受害者输入密码之后,这个 Webview 可以注入一些 js 获取到 Cookie ,然后访问 appleid.apple.com/account/manage ,通过一些自动接收验证码的机制,配合 Cookie 和密码,就可以在受害者 Apple ID 的信任号码中加入他自己的号码,用来接收双重认证的短信。”
    dyc12389
        2
    dyc12389  
       234 天前
    难道这个 webview 拉起 sso 登陆的问题,苹果就一直放着没管?
    CharTyr
        3
    CharTyr  
    OP
       234 天前 via iPhone
    @czfy 感谢,之后我会查看一下家人手机是否有相同的情况
    joeyzhou
        4
    joeyzhou  
       234 天前   ❤️ 1
    家庭组满 6 个人就不怕了
    CharTyr
        5
    CharTyr  
    OP
       234 天前
    @joeyzhou 笑死
    liuleisail
        6
    liuleisail  
       233 天前 via iPhone
    家里老头不知道自己的 apple id ,我都是让他录入指纹,老太太直接是面容。这样就安全了很多
    CharTyr
        7
    CharTyr  
    OP
       233 天前 via iPhone
    @liuleisail 我爹是知道自己的 AppleID 这些的,估计是因为平时不注意下载了一些钓鱼 app 导致泄露了
    hiapk
        8
    hiapk  
       233 天前
    @CharTyr app store 上的钓鱼 app 可以丢出来举报,投诉 Apple 的
    asdsjw
        9
    asdsjw  
       233 天前
    @czfy 现在的盗刷哪里还需要有这么技术含量东西?,直接 wx 或 a 反响绑定(扫描二维码确认密码)就行了
    其实整个过程是知道骗局的,只能说人心复杂的
    很多人是明知道有问题只是想着人家盗刷不会这么快,哪知道立马没了
    asdsjw
        10
    asdsjw  
       233 天前
    1. 尤其是家里人,需要告知的就是不要随便扫描人家二维码支付
    2. 不要脱离平台上交易,就是脱离平台支付款项
    3. 很多人会发钓鱼短信,让用户点链接,用 wx 或 a 进行反向绑定
    asdsjw
        11
    asdsjw  
       233 天前
    还有账户密码其实有很多诈🌲,利用人心落点让人输入账户密码的,比如购买低价 vip
    更多不是用什么技术来骗,这个才是防不胜防的
    asdsjw
        12
    asdsjw  
       233 天前
    现在这个诈骗链条完善的,楼主说的附言那条,其实就是低价充值各类 vip ,充值的人很多人被骗的
    楼主说的还回来的人居然没被骗 也是小概率事情了
    asdsjw
        13
    asdsjw  
       233 天前
    而且我认为,这个所谓还钱回来的人,很有可能是操作这个事情的人,可能是第一次做这个事胆子小,所以才还钱回来
    因为这种找人代充,是不可能知道具体 apple id
    他是一种反向绑定操作
    CharTyr
        14
    CharTyr  
    OP
       233 天前
    @asdsjw 暂时也不清楚这个人是怎样找回来的,只能推测是从所谓代充得手里给的 appleid 里找到电话加上得,不过目前至少钱是回来了= =
    CharTyr
        15
    CharTyr  
    OP
       233 天前
    @hiapk 像二楼提出的那种钓鱼方式,如果一直还有这样的 app 在 AppStore ,再怎么说也是 AppStore 审核的问题了
    asdsjw
        16
    asdsjw  
       233 天前
    @CharTyr 这种属于少数,目前大部分就是我说的那种,不需要技术
    另外代充本身就是骗局,你去小红书多看一下就知道了
    等于是各个链条上都是计中计
    asdsjw
        17
    asdsjw  
       233 天前
    而且我还还留意到很多都 apple id 都是直接给人家的,人家用的诈术
    现实就是不需要懂任何技术
    asdsjw
        18
    asdsjw  
       233 天前
    漏洞不光发生在 apple 那头,就是大家都有漏洞,所以。。。😮‍💨
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3096 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 14:34 · PVG 22:34 · LAX 06:34 · JFK 09:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.