背景:一大早还没睡醒,家里人突然把我叫醒说支付宝被盗刷了,我一看,支付宝提示有十多条 App Store 的免密交易记录,有成功有失败的,合计大概近 2000 的金额。
措施:首先马上关闭了支付宝的免密支付,然后修改了苹果账户的密码。
原因:上周收到了钓鱼短信,她居然老老实实输入了账户密码(我说安全教育了那么多,她反驳说不是银行卡啥的就没注意)目前短信已经找不到,不知道为何消失了,但是还有网页访问记录(图 1 ),然后这个操作可能就是通过用户两步验证添加了授权设备,凌晨增加了家庭共享账户(图 2 )进行消费充值。
疑惑: 1 、用这么多年苹果都没搞懂家庭账户消费,骗子轻松拿捏,而且这中间不需要主账号进行任何支付前的二次确认。 2 、支付宝风控能力是有,为什么不拦截全部,我前几天给新家充电费提示交易中断且需要我本人上传材料才能解除限制,苹果免密大半夜连续消费却成功一部分拦截一部分。
补救: 1 、支付宝交易记录中维权账户盗刷,提示免密交易不属于支付宝账户责任,引导我联系苹果客服。 2 、打客服电话反馈了,说 48 小时内给回复。(概率似乎不大,退款成功多,拒绝的也多) 3 、准备打 12315
警醒:关闭各类免密支付,多给家人做安全教育,我这就是个反面例子,短信的链接不管什么都不要乱点,一般人没有区分是不是官方的短信或者什么。
图 1 图 2
1
LiuJiang 12 天前
好的,感谢分享
|
2
Totoria 12 天前
米!
|
3
tangyujing99 12 天前
1 、骗子钓鱼拿到 Apple ID 密码并成功在 app store 登录。
2 、恰巧该 Apple ID 绑定了有效支付方式(支付宝)。 3 、骗子 App Store 内购盗刷成功。 ------ 我本人是美区 id 有余额,内购都是只需要面容识别或者输入密码就完成付费的。不知道支付宝/微信/信用卡这些情况。 |
4
tangyujing99 12 天前
@tangyujing99 我想表达的是完成绑定有效支付方式之后的付费似乎只需要验证 Appleid 的密码即可。这个问题可能在苹果这边哦。如有错请网友指出。
|
5
tangyujing99 12 天前
@tangyujing99 #3
更正: 1 、骗子钓鱼拿到 Apple ID 密码。 2 、骗子把自己帐号加入 op 家人的家庭组。 2 、恰巧该 op 家人 Apple ID 绑定了有效支付方式(支付宝),且开通共享支付方式。 3 、骗子 App Store 内购盗刷成功。 |
6
liaixiao 12 天前
我都是消费完毕就解除支付方式来着,苹果的安全性做的很烂。
|
7
ThomasKim 12 天前
所以说,只要自己的 Apple ID 的账号和密码不泄露是不是就没事儿了?
|
8
Granthese 12 天前
槽点太多了,又是共享支付方式,又是开免密支付,又是自己主动交出账号密码,双重验证都拦不住主动送钱😅
|
9
leega0 OP @tangyujing99 共享支付默认没有开启,应该是骗子拿到账户后操作的,
|
11
twinsdestiny 12 天前
骗子沉迷米哈游游戏,这辈子有了
|
12
leega0 OP |
13
rshun 12 天前
客观的说,Apple 至少是有部分责任的。(不过你的家人把账户密码交出去,这个。。。)
主账户添加共享账户,如果由主账户消费的话,至少发个验证码到主账户的手机来确认一下。 顺便说一句,如果多次充电费的话,是有洗钱的嫌疑的,所以你才会被要求上传材料,这和支付宝没什么关系 |
14
yinmin 12 天前 1
apple 可以退款的: https://support.apple.com/zh-cn/118223
但是通常一个帐户退 1 次,之后几笔大概率会拒绝,建议申请第一笔退款时选最贵的这笔 |
15
orangy 12 天前 3
盗刷真的是很可恶,我也被盗刷过,刚知道被盗刷的时候真的是很担心和害怕。幸运的是你是绑定的信用卡,就真的还能救。
立马联系银行,银行那边对于这种交易会很好地处理。 首先,确认不是家里小孩或者亲戚朋友的误充(有些家庭成员可能不知道是主账户付款)。 然后,报警(银行可能会要求报警回执,以佐证不是你本人消费,因为一般人不敢报假警)。 最后,向银行提供非本人消费的相关说明(只需说明而非证据,如果有证据当然更好)。 接下来耐心等待银行的处理结果就好。 银行一般会先冻结你的信用卡,一般一个月左右的调查之后,银行会给你撤销消费。至于与支付宝和苹果的拉扯,银行会处理(银行一般会拒绝向他们付款)。 PS:银行调查期间,即使到了还款日,这几笔费用你也不用还款。 PPS:建议大家自动扣款都绑定信用卡,储蓄卡一旦被盗刷,银行、支付宝和商家都不一定会 100%处理。而信用卡就不一样,实际上消费的时候银行并没有向商家付款,如果消费者提出异议,银行有权拒绝向商家付款。 |
16
yinmin 11 天前
这个贴很详细的记录了被骗过程 https://www.v2ex.com/t/959041
我看过这个 app 运行,对于某些用户会要求登录 app ,但是实际操作是启用内置浏览器去登录 apple 网站,然后 apple 网站弹出用户认证,这步极具迷惑性,即使是老手也有可能中招,登录后黑客就拿到了你的 appleid 凭证,可以操作你的 apple 帐户了。 支付宝里,设置 -> 支付设置 -> 免密支付/自动扣款 -> App Store & Apple Music 可以设置每月限额,一般设置小几百元,能挡一下。 |
18
tangyujing99 11 天前
骗子拿到帐号密码再打开共享支付就不难了。
甚至严重一些把你手上的设备设为丢失状态再对家人勒索也不是没可能。 主责还是家人的反诈意识不够。 延伸讨论: 我也认为苹果的家庭组的共享支付方式其实很不精细,能区分共享儿童帐号,成年人帐号就很好。而且现有的描述也是晦涩难懂。 |
20
punish19 11 天前
这种报警没用,警察内部会归类为“浪费警力”,所以不用春风吹都又双叒叕生
|
21
leega0 OP @tangyujing99 #18 是的,刚刚发现在双重认证里面添加了境外号码,等于这个账户下的苹果设备他都有权限,没有把设备设为丢失跟改密码已经算欣慰了一点
|
23
leega0 OP |
25
billowssun123 11 天前
上次我朋友用我的 apple id 登录,我的 id 也是绑定的支付宝,居然可以直接购买软件的会员,不过他也不懂,误打误撞就开通了,后面我觉得这个太危险了,直接把支付宝绑定删除了,更换成银行卡,会有二次验证。
|
26
SenLief 11 天前
这和免密支付没啥关系,就是人太傻了而已,这类绑定属于快捷支付,你就算绑定的是银行卡,难道你付款的时候还需要去银行确认吗?
apple id 和密码被盗,如果硬要说有责任,应该是苹果的风控有问题,不知道异地登陆的时候有没有触发验证。 |
27
leega0 OP @yinmin #24 扣款账户就是被盗刷的账户(苹果所说的组织者),登录后为空,那个账单消费账户是骗子的账户(苹果所说的家人),苹果说账单发送到家人组织者,邮箱里面也没有,这就很神奇了。
|
28
leega0 OP @SenLief 缘由肯定还是人太傻被骗输入了账户密码,这个没法辩解,不过苹果在付款风这块确实没啥风控可言,家庭账户第一天加入就马上消费,至少发个短信确认一下吧,日常订阅在到期日前扣款还会发个邮件提醒呢
|
29
kyor0 11 天前
106 开头的短信全部屏蔽
|
30
lqcc 11 天前
你老婆的手机买 app ,以前是如何扣款的?
|
33
54xavier 11 天前
这时候是不是该给垃圾短信过滤 app 打个小广告,至少 app 先行过滤一波垃圾、骚扰、诈骗短信
|
35
mooyo 11 天前
分个锅的话,这次还真怪不到支付宝,在支付宝那边看 APPLE 是一个信誉很好不会乱搞的商家。
苹果这个家庭共享支付的逻辑我之前没使用过,看上面的回复感觉是苹果这边的锅大一点。 |
40
dode 11 天前
苹果退款政策还是更加友好的,加油
|
41
Ccf 11 天前
跟苹果官方沟通一下,加强支付宝的安全验证
|
42
leega0 OP @Ccf 估计没用,这个盗刷事件从 18 年到现在至少上万件了,排除自己充错的,涉案金额也不小,苹果不改,支付宝不会瞎限制影响更多的正常用户消费。
|
43
Martinez 11 天前
免密支付记得可以设置一天的限额多少...我绑定的微信支付至少是可以的。
#15 说的直接绑定信用卡真是个好方法,值得借鉴! |
44
Rrrrrr 11 天前
尼玛,真的无语了。这像普通人能干的事吗?
|
45
djne 11 天前
家庭账号挺坑的,我的家庭账号之前给家里老人加了个账号,为了防止他们乱付费我给他们选了个 12 岁。现在不用这个账号了但我移除不了这个账号(因为是儿童),家庭解散不了(因为有儿童),儿童账号密码忘了找回不了恢复码无效,绑定的支付宝解约不了(因为家庭账号必须要有一个支付方式),支付宝那也解不了。后来我支付宝找人工,强行单向解绑,代价是以后苹果账号都绑不了支付宝了,我一点没考虑就同意了,这垃圾家庭账号以后不想再碰了。
|
46
noyidoit 11 天前
@twinsdestiny 这种不太可能是充自己号,更可能是走闲鱼低价代充
|
47
leega0 OP @djne 反正我觉得苹果这块做的不咋完善,让骗子钻了漏洞,不然拿到 apple id 权限除了锁机勒索没有什么太大利益驱使骗子各种发钓鱼链接。
|
48
xuanjiangsara 11 天前 via iPhone 1
@djne 哈哈哈,这个死循环听起来莫名搞笑老了。
|
49
uuhhme 11 天前 via iPhone
设置限额吧,安全一点。比如每个月最多多少,支付宝那里可以设置。也可以弄礼品卡充值,不用支付宝
|
50
xiaoxixi 11 天前
建议小红书去找找看退款的帖子学一下,因为那边被骗的更多
|
51
Pastech 11 天前
小绿书上还有人分享了个案例,差不多也算是 App Store 盗刷。
在 Safari 里面点了一个几分钱还是几毛钱购买几天会员的链接,然后跳转到支付宝的绑定 App Store 界面。结果谁能想到绑定的竟然是骗子的苹果账号,骗子就一次大几百地消费了好几单。 |
52
cskeleton 11 天前
看起来“不是银行卡啥的就没注意”这个“银行卡”概念要推广到所有能直接银行卡快捷支付的情形。
其实我不太理解支付宝的免密支付,毕竟现在生物识别的支付方式已经很便捷了,免密支付并没有省事太多。从用户角度来说,几乎没好处的事情。 |
53
yvkino 11 天前
这种情况支付宝的账户险能赔吗
|
55
lqcc 11 天前
我有个问题:作为家庭帐号发起人,我是可以设置购买项目共享的,里面可以设置支付方式共享。那作为家庭帐号参与者,他的手机也能选择我的支付方式作为支付手段吗?难道不用我这边确认吗?
|
57
leega0 OP |
58
214L 9 天前
我也搞不懂苹果家庭账户的支付逻辑。我的家庭成员的消费必须通过我的验证码……
是因为我没开支付宝免密? |