“蘋果設備和支付平臺串通一氣,設置支付陷阱,從8月份開始數百人被盜刷了上千元,竟然還無法退款!”近日,來自全國各地的蘋果手機用戶頻頻致電上海市民服務熱線12345,投訴自己的蘋果ID賬號被盜號,綁定的相應支付平臺被用於扣款,最高損失已達上萬元,而位於上海的蘋果中國公司對被盜刷用戶提出的退款申訴表示無法操作。
盜刷是如何發生的?如何預防?記者採訪了幾位受害者和網絡安全專家。
眼睜睜被盜刷3筆無計可施
9月24日22時10分,武漢劉女士像往常一樣拿起自己的iPhone6 Plus,發現屏幕中出現支付寶通知彈窗,顯示於22時09分在App Store&Apple Music成功付款1000元;幾秒鐘後,又來了條通知,同樣顯示其付款1000元。1分鐘後,支付寶告知其“成功關閉Apple,and GCBD for iCloud的App Store,Apple Music,&iCloud由雲上貴州運營服務。”
眼睜睜地看著自己的賬戶接連被扣除1000元,又自動關閉了一項蘋果服務,劉女士慌了神:“到底發生了啥?”
隨後,她點擊“設置”中的“iTunes Store與 App Store”,查看自己的 Apple ID,選擇“購買記錄”,查看近90天內的購買記錄,結果令劉女士大驚失色,當天的購買記錄顯示,她為Apple ID“充值”了3筆費用,分別是1000元、1000元和100元。同時,她還為一款名叫“魔域口袋版”的遊戲“購買”了 3筆價值648元的“魔石”,另購買了一款名為“傳奇世界”遊戲價值45元和98元的“元寶”,狀態都是“待付款”,幾分鐘後都變成了“已完成”。“這些遊戲,我聞所未聞,更別提下載了。”劉女士很困惑。
蘋果ID都是用戶郵箱,登錄、付款等操作狀態及變動都會通過郵件告知用戶。劉女士立即打開郵箱,發現蘋果公司於當天22時06分發來一份“操作提醒”郵件,顯示她的這個QQ郵箱(即蘋果 ID)被用於在iPhone6上登錄了iCloud。但劉女士僅有一臺蘋果設備,就是iPhone6 Plus,她當即覺得自己“被盜號了”。
劉女士綁定蘋果ID的付款方式為支付寶,於是她打開支付寶,查找扣款流程,發現發生的扣費先是用了支付寶零錢,不夠扣就自動轉為花唄支付。“平時用支付寶都是使用密碼或指紋,盜刷者是怎麼扣除費用的呢?”
在和其他受害者交流中,劉女士意識到此前支付寶通知當中有過“關閉某項服務”的提醒,其實就是關閉免密支付功能,但她怎麼也記不起自己什麼時候開通過這項服務,更沒有使用過。她懷疑可能是自己的信息遭洩露,被不法分子利用。她前後聯繫蘋果客服“4006668800”8次,但對方除了表示“同情”,就是在提交系統審核後告知其無法退款,沒有理由。劉女士轉而向上海消費者保護委員會請求協助申訴,但蘋果方面回覆劉女士的結果,依然是“系統判定無法退款”。
9月成盜刷高峰
受害者通過微博搜到兩個“蘋果ID被刷處理”的QQ群,每個群的成員數量已達三四百人,兩個群加起來在700人以上。群成員幾乎都在9月份發生了被盜刷狀況,累計被盜刷金額從幾百到上萬元不等。有些人尋求過警方幫助,但最終只能自己與蘋果公司交涉。
記者登錄蘋果手機賬戶,發現綁定的支付寶賬戶下方有一行“如需重新綁定請輕點此處”的選項,但點擊跳轉後,顯示的界面為“同意免密扣款授權協議並開通”,為何重新綁定賬戶變成了同意免費扣款?記者查看支付寶免密扣款的協議內容,從頭到尾未看到扣款的頻次和額度範圍。不加粗的內容當中,提到“支付寶會對您選擇的不同扣款渠道的付款額度做出不同的控制,日付款授權額度及日授權次數,均以支付寶向您具體公告的為準。若超過該限額的話,將會扣款失敗,無法完成支付”。
如何控制付款額度?授權額度和次數默認又是多少?公告又在哪裡?不少受害者表示不清楚。
而支付寶如此介紹免密支付功能:蘋果設備上充值視頻網站VIP會員、購買遊戲道具或其他付費項目時,將通過支付寶自動完成支付。這些功能與受害者們的經歷頗為重合,比如,被盜刷的付費項目多用於名不見經傳的遊戲充值,或者受害者此前使用過免密支付/自動扣款的訂閱服務。
從實際損失看,盜刷者的單次盜刷金額不會超過2000元,極有可能是盜刷者利用免密支付漏洞,通過單次額度內多次扣費進行盜刷。
閱讀更多 小興致 的文章
