近日,杭州的朱女士遭遇驚魂一刻,iPhone手機就在自己手上,什麼也沒做,卻在短短3分鐘內收到十多條微信消費通知,顯示她在蘋果的App Store購買了將近5000元的遊戲裝備。
朱女士是眾多Apple ID被盜受害者中的一例,近期全國至少已發生上千起類似事件,都是由於Apple ID被盜導致綁定的支付工具出現資金損失,少則幾元,多則上萬。
3分鐘被盜刷近5000元
國慶長假最後一天,朱女士正在午休,忽然聽到自己的iPhone不停地收到微信提示,拿起一看,是微信消費通知,顯示她用微信支付方式在App Store購買了一款遊戲裝備。
朱女士不玩手機遊戲,也沒有下載過這個App,當時就頭大了。趕緊打開App Store,發現已經有十來條購買記錄,還有幾筆Apple ID充值。3分鐘後,微信消費提示不再發來,她清點消費記錄,一共十多筆,總金額4948元,最少一筆5元,最大一筆1000元。
朱女士意識到自己的Apple ID被盜了,馬上聯繫蘋果客服,但客服告訴她,被盜刷的是微信支付,應該找微信解決。找到微信客服,結果又告訴她盜刷發生在App Store,應該找蘋果。
心急如焚的朱女士一邊報警,一邊繼續和蘋果公司溝通,蘋果客服總算答應幫她處理,關閉了她的Apple ID,將她的情況提交系統審核,三天之內答覆處理結果。
朱女士又到網上求助,發現很多人有類似的遭遇,而且大多發生在近期,幾個上千人的微信群裡,都是朱女士這樣的受害者:有人盜用Apple ID,在App Store通過用戶綁定的支付寶、微信、銀行卡等支付工具,利用蘋果免密支付功能,大量購買遊戲裝備,少的損失幾百元,多的有上萬元,而且很多發生在半夜裡,到第二天才發現。更離奇的是,這些用戶的Apple ID還被人開通了雙重認證。
由於大量用戶出現類似情況,10日,支付寶在新浪微博發佈公告,建議用戶調低蘋果支付的免密支付額度,以最大限度保護資金安全。
黑客開通雙重認證瘋狂盜刷
iPhone明明在自己手上,Apple ID怎麼會被別人登錄,還買了那麼多遊戲裝備呢?朱女士想不明白,蘋果客服的解釋她也聽不大懂。
騰訊安全專家李鐵軍說,分析最近Apple ID被盜的這些用戶發現,他們有一個共同點,就是賬號被盜之前,都沒有開通Apple ID的雙重認證功能。
雙重認證是蘋果最新的賬號保護方式,開啟此項功能後,Apple ID在新設備上登錄時,除了要輸入Apple ID原有密碼,還要輸入在受信的其他蘋果設備上接收到的6位數字驗證碼。
開啟雙重認證後,Apple ID在新設備上登錄時,會要求輸入在受信設備上收到的6位驗證碼
沒有開啟雙重認證的Apple ID,因為缺少跨設備驗證碼保護,一旦賬戶被盜,他人就可以進入這個Apple ID,進而更改裡面的資料和設置,比如變更受信手機號碼、添加受信設備、更改綁定的支付賬戶等。
李鐵軍說,就朱女士個案來看,很難判斷她的Apple ID是如何洩露的,有可能是自己保管不善,也可能是黑客通過撞庫、洗號等技術手段獲取 。從近期該類事件大規模爆發這一點來看,後者的可能性更大一些。
那麼黑客是怎麼實現盜刷的呢?
瑞星安全專家唐威解釋,App Store要使用Apple ID購買,很多人的Apple ID綁定了支付寶、微信、信用卡或借記卡等支付方式,並且支付方式會跟隨Apple ID到其他設備。最關鍵的一點是,在App Store裡,蘋果默認所有支付方式均為免密支付,也就是用戶在購買App或遊戲裝備的時候,無需輸入支付平臺的密碼。蘋果沒有想到的是,這個支付方式在便利用戶的同時,也給不法分子大開方便之門,朱女士的微信支付被盜刷,就是這樣發生的。
不過,黑客只要攻破用戶的Apple ID,就可以盜刷,為什麼還要多此一舉幫用戶開通雙重認證呢?
唐威做了個試驗,用一個沒有打開雙重認證的Apple ID購買遊戲裝備,發現免密支付無效,要先驗證賬戶才行,且驗證碼是發送到用戶手機上的。而打開雙重認證之後,就不再需要這一步驟,直接可以支付。
未開通雙重認證的Apple ID在購買遊戲裝備時要求輸入手機短信驗證碼
也就是說,雙重認證和免密支付幫助黑客在極短的時間內迅速完成連續盜刷,等到用戶發現異常,損失已經造成。
李鐵軍分析,黑客之所以選擇購買遊戲裝備,是因為此類虛擬商品很容易轉手變現。在此之前,盜刷遊戲裝備早已形成黑色產業鏈。
多數用戶沒有追回損失
就在朱女士向蘋果求助的第二天,她收到了蘋果公司的答覆,稱系統審核可以幫她退款。蘋果公司原路退回了被盜刷的4948元,還協助她重新開通了Apple ID的雙重認證功能。
但只是少數受害者有朱女士這樣的好運氣,許多被盜刷用戶反映,他們沒有獲得退款 。
記者撥打蘋果客服熱線,接線員稱,最近確實有不少用戶反映賬號被盜刷,且之前都沒有開通雙重認證功能,而是被其他人開通。對於系統審核盜刷損失能否退回的標準,接線員稱並不瞭解,而且人工無法干預結果。
有知情人士稱,原來蘋果對於退款的申請比較寬鬆,用戶只要能夠提供一些簡單的理由和證據,就能獲得退款。網上曾流傳一份“退款攻略”,講如何在App Store申請退款,其中包括非盜刷狀態下先購買遊戲裝備,轉移之後再申請退款。
有一種看法認為,蘋果由於無法判斷是否Apple ID持有人自己購買,故此收緊了此類申請的審核,導致大部分用戶無法退款。也有人認為,蘋果對每筆交易收取高達30%的“蘋果稅”,有可能導致其在處理此類事件時沒那麼積極。
朱女士分析,她能拿到退款,可能和她及時發現並聯系蘋果客服有關,盜刷發生之後幾分鐘,她就聯繫了蘋果客服,當時賬單狀態顯示為“待處理”。很多人被盜刷發生在睡夢中,等到發現異常時,黑客已經將遊戲裝備轉手,賬單隨之生成,這時候再向蘋果求助,就晚了。
對於朱女士的這一分析,蘋果客服不置可否,只是一再強調由系統審核決定。
開啟雙重認證,關閉免密支付
對於此次爆發的Apple ID被盜事件,蘋果公司尚未公開表態。今年上半年爆發的蘋果設備被遠程鎖定繼而敲詐勒索事件中,蘋果公司也沒有公開表態。兩次事件的受害者,都是沒有開啟雙重認證功能的用戶。
支付寶在公告中建議蘋果公司儘快定位被盜原因,提升安全防範水平,並徹底解決用戶權益損失的問題。蘋果公司回覆已在積極解決。
安全專家建議,蘋果用戶一定要開啟Apple ID的雙重認證功能,只有自己先開通,才能將黑客擋在門外,等到被黑客開通,等於將自家大門鑰匙交給別人,危害可想而知。
開通方式很簡單:進入“設置-Apple ID-密碼與安全性”選項,按提示開通即可。
蘋果客服建議:如果對賬戶安全不放心,可以將付款方式改為“無”,需要購買的時候再添加。修改位置在“設置-Apple ID-付款與配送”。
閱讀更多 危機大調查 的文章
