前段時間,多名蘋果手機用戶反映自己的手機出現了異常支付,具體表現為他們的Apple ID在蘋果的App Store產生多筆消費,數額從數百元到上萬元不等(參見圖1)。問題是,這些消費根本不是用戶本人或親屬操作,消費記錄顯示多為遊戲類APP內購(In-App-Purchase),一時間新聞報道不斷,事件影響範圍擴大,業界稱之為 “蘋果盜刷門”。
用戶的Apple ID如何被盜?
很顯然,圖1這個用戶的Apple ID被盜了。雖然目前幕後黑手還沒有被鎖定,但從作案的集中時間(凌晨)以及影響範圍來看,大概率是黑客所為。
關注了“蘇寧財富資訊”公眾號的讀者,或許已經從我們以往的文章中瞭解到黑客拖庫和撞庫的手段,即黑客從其他(非蘋果)平臺攫取到大量賬號信息(拖庫),因為總有一部分用戶習慣了用同樣的賬號和密碼註冊,因此黑客在蘋果App Store使用拖庫得到的相同賬戶名(多為郵箱)和密碼組合,嘗試登錄就能成功(撞庫)。
這部分可以登錄的Apple ID當中,又有一些開通了支付渠道免密支付功能,如圖2所示:
此協議准許蘋果App Store在收到用戶(Apple ID)的消費請求時,無需額外驗證,即可直接向用戶關聯的支付賬戶發起扣款。也就是說,黑客無需知曉受害人的支付賬戶和密碼,就可以隨意購買App內的收費項目(例如遊戲裝備、虛擬貨幣等), 將受害人App賬戶內的虛擬商品變賣兌現,實現利益轉移。
為何會發生上萬元的高額盜刷?
這是由於蘋果和支付APP的免密支付協議中,對扣款額度默認不設上限,這樣發生盜刷時會非常危險。目前支付APP已建議廣大用戶調整上限,畢竟從代扣協議的約束條件來講,支付機構本身就無法驗證最初的消費發起者到底是用戶還是黑客,風險控制只能在代扣請求的發起方(蘋果)做好。
很多讀者可能會覺得不可思議,為何黑客掌握了他人的Apple ID之後,就可以在任何時間地點登錄並在App Store肆意消費,難道蘋果完全不做風控麼?
當然不是!本次事件中被盜刷的受害人,其Apple ID並沒有開啟“雙重認證”功能,黑客掌握了他的賬號密碼,即可在從未登錄過其ID的iOS設備上登錄併產生消費,甚至很可能在同一臺iOS設備上登錄多個受害人的Apple ID,這就造成了短時間內大量的盜刷事件發生。
那什麼是“雙重認證”呢?
此功能是蘋果開發的管控Apple ID登錄iOS設備/網頁的功能。簡單來說就是,蘋果會記錄用戶ID經常登錄的設備號,如果此ID想要在陌生設備/網頁(IP)登錄,必須由用戶的常用設備授權。如下圖3所示,筆者在陌生電腦(陌生iOS設備同理)上嘗試登錄蘋果Apple ID管理網頁時,會被要求輸入驗證碼:
同時,筆者日常使用的iPhone X屏幕上彈出的提示如下圖4:
如果確定登錄行為是安全可信的,點擊“允許”後可以展示出一個6位數的驗證碼,將其輸入到正在登錄賬號的設備的界面上即可成功授權登錄,同時您也可以選擇“信任”該設備並將其加入Apple ID的可信設備列表中(今後無需再次輸入驗證碼即可在此設備上登錄該Apple ID):
有了這個功能,黑客登錄被盜的 Apple ID必然是在一臺陌生(非信任)設備上,沒有用戶的授權他什麼也做不了,也就不會發生盜刷或其他洩露信息事件了。
實際上,蘋果的雙重認證從防範邏輯上看,和我們常見的各種App登錄要求短信驗證是一個道理,都是在登錄服務器上檢查賬戶與硬件設備的關聯性,並給出一個額外的認證步驟,以相對更安全的渠道讓用戶授權登錄。只不過,盜刷門中的用戶並未開啟雙重認證。
那通常的風控怎麼防範盜刷呢?
智能數據分析是一種趨勢。例如,蘇寧“極目”賬戶異常預警系統:通過組合會員的身份信息、行為特徵、設備信息、交易信息,建立多維度的層次化體系;基於數據挖掘和隨機森林、XGBoot機器學習算法,評估用戶的異常風險可能性,保證評分的高準確性。目前,該系統已應用在賬號登錄和消費環節,可輕鬆識別被盜賬戶在異常地點/異常設備的登錄行為,以及異常時間發生的異常消費行為,為用戶的賬戶和財產安全保駕護航。
最後,基於前文的技術分析,筆者梳理了蘋果用戶防範支付賬戶被盜刷的正確姿勢:
(1)不在多個賬戶之間使用相同或者非常近似的密碼,可以有效防止黑客撞庫。
(2)簽訂免密支付協議時,細讀文本條款,確認支付發生的條件以及額度限制,或者是否帶有自動按期續費(代扣)等附屬項;同時檢查支付APP(或銀行APP)當中的免密支付設置,及時關閉不必要的協議,或者將支付額度降到合理的範圍。如下圖6所示:
(3)開啟iOS的雙重認證功能,路徑如下:“設置”-“”-“密碼與安全性”-“雙重認證”開啟:
(4)如果要將自己的舊iPhone轉賣,或淘汰給其他親朋好友,一定記得恢復出廠設置(會抹掉你的Apple ID和機器的關聯),之後任何人在該機上嘗試登錄你的Apple ID,都會再次觸發雙重認證。
(5)如果您的iPhone手機丟失了,而且還沒有設置解鎖密碼或指紋等,那趕快登錄一臺曾經登錄過Apple ID的電腦,在www.icloud.com上“查找我的iPhone”,然後啟用丟失模式或抹掉數據:
最後,如果你已經不幸中招,除了按照上面的步驟完成自檢,還請儘快撥打蘋果客服電話(400-666-8800)向蘋果提起退款申請,提供自己被盜刷的記錄。據悉,目前已經有用戶用這種方式追回了損失。
閱讀更多 蘇寧金融研究院 的文章
