V2EX 有一個帖子《家人的 Apple ID 開了雙重認證,仍然被釣魚,求大佬解惑,也順便給大家提個醒》,詳細描述了一個新的詐騙過程:在 Apple ID 開通雙重認證的情況下,被高仿的李鬼 App 誘騙出密碼,并被添加信任號碼、家庭共享,再通過家庭共享成員完成消費。但整個過程中,原設備并未出現新設備登錄時需要的雙重認證驗證碼,也就是說雙重驗證并未起作用。
在那個帖子中,具體的被騙步驟是這樣的:
丈母娘曾經在某 App 購買虛擬商品,App Store 綁定了微信免密支付。
7 月 11 號下午,丈母娘在 Apple Store 上下載了一個叫 “菜譜大全” 的 App ,它的登錄方式是 Apple ID 授權,這一步如果沒有開啟 iCloud+ 隱藏郵件地址的話,Apple ID 賬號就會泄露,如圖
接著,會出來一個跟 App Store 長得非常像的密碼輸入框,大家如果經常安裝 App ,人臉識別失敗的時候,就會有這個密碼輸入框,不熟悉 App Store 登錄流程的話,很容易中招,如圖
有了 Apple ID 的賬號和密碼,就可以登錄了,這一步我跟丈母娘反復確認了,她沒有見過雙重認證的彈窗。
登錄之后,他會把自己的號碼,加入雙重認證的信任號碼中,目的是為了后續的登錄可以通過自己認證
到這一步,他已經掌握了受害者 Apple ID 的所有權限。
接下來,盜號者并不會直接用 Apple ID 下單支付,而是會創建一個家庭共享,加入另一個賬號,由這個賬號購買 App 中的虛擬商品
疑問
整個釣魚過程,我有一點不太理解,在開啟了雙重認證的情況下,除非我丈母娘主動輸入驗證碼,否則即使對方拿到了 Apple ID 的賬號密碼,應該也無法登錄才對,這里請大佬幫忙解惑。
以上內容來自原帖。至于為何登錄了新設備或網頁而沒有彈出二次驗證,是此事的最大疑問。 根據博主@BugOS 技術組 的測試,受信設備中的應用拉起隱藏 WebView 訪問 appleid.apple.com 無需雙重驗證,這一重大漏洞使得用戶掃個臉即可登錄。該 App 又用假的對話框騙取密碼,然后將詐騙者的手機號加入雙重認證的信任號碼,直接遠程抹掉設備,使用戶無法接收扣款信息,并進行盜刷。
@BugOS 技術組 表示,當 iPhone 上出現輸入 Apple ID 密碼的窗口時,按 Home 鍵或上劃手勢嘗試退出一下,能退出的都是在詐騙。
-
Apple
+關注
關注
1文章
929瀏覽量
52794 -
APP
+關注
關注
33文章
1573瀏覽量
72441
原文標題:新型Apple ID詐騙:開啟雙重認證仍被釣魚
文章出處:【微信號:OSC開源社區,微信公眾號:OSC開源社區】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論