iPhone驚現“盜刷門”!支付寶微信一夜損失上萬,這個漏洞趕緊自查!
人世間最痛苦的事情是什麼?答:人還在,錢沒了。
最近不少蘋果使用者就遭遇了這種困擾,更尷尬的是,這錢還不是自己花沒的:短短几天時間裡,全國各地已有幾千人的 Apple ID 被盜。不同於以往 鎖機 - 留 QQ - 敲詐解鎖費 的老三步,這次他們遭遇的是雲小偷們的新套路:
App Store 盜刷。
錢是咋沒的?
從目前的報道和受害者提供出來的截圖來看,極果君大致可以還原出黑客的盜刷步驟:首先,通過撞庫、黑進密保郵箱、釣魚等等手段,黑客拿到了受害者的蘋果賬戶(Apple ID)控制權。
然後,在黑客自己的 iPhone / iPad 上登陸受害者的蘋果賬戶。
接下來重點來了:由於蘋果賬戶的支付手段(微信/支付寶/銀行卡等等)和賬戶繫結而非機器,因此在黑客的手機上,這些賬戶裡的錢,就可以通過遊戲內購、賬戶充值等等形式給“偷”出來。
用這種方法“雲偷錢”,需要的只有一樣東西:受害者的蘋果賬戶密碼。
這樣一來,無需知道你的銀行卡號和密碼,也不用黑進你的支付寶,就可以輕鬆套走你賬戶裡的真金白銀。再加上支付寶對這種消費並無明確的額度上限,所以許多受害者都是一夜損失上千,甚至還有支付寶餘額不夠接著刷花唄的記錄。
(圖片來自網路)
據公開報道,受害使用者的被盜刷金額不一。少則幾百,多則5-6千。至於受災人數,目前已經有數個滿員QQ群。即便按每群 1000 人、人均 1000 塊計算,總金額也妥妥的上了百萬級別。
而當被盜刷的使用者找上蘋果和支付寶的時候,事情變得更尷尬了:
什麼?這錢不能退?
蘋果賬戶被盜,很多人第一時間自然首先想到去找蘋果操作退款。結果有些朋友可以僥倖成功追回損失,而另一些聯絡蘋果退款的使用者,則收穫了客服人員的親切慰問,和一個“系統稽核不通過”的悲傷結局。
這個“系統稽核”是個什麼鬼呢?其實並非是蘋果有意為難,而是他們被逼出來的一個防禦措施:通過蘋果內購-惡意退款模式來盈利的套路,已經產生了海量壞賬,對蘋果和遊戲開發者而言,都是很大的壓力。
因此這兩年蘋果的內購退款政策越收越緊,受害者申請退款卻遭遇稽核失敗,也就不足為奇了。
那麼支付寶賠不賠呢?不好意思,也很難。
首先,支付寶和蘋果賬戶繫結時,你得同意一份授權協議。而在這個不同意就用不了的《付款授權服務協議》中,支付寶是這麼說的:
翻譯一下就是“我只是個奉旨扣錢的,出了問題的話您別找我,誰讓我扣的錢,您去找誰去。”
很多朋友可能會問了,那支付寶的賬戶安全險呢?不好意思,同樣是一團漿糊。
螞蟻金服在知乎上專門解答過這個問題,我們來看看官方是怎麼說的:
我們賠付的原則是:被盜賠,被騙不賠(但會全力配合警方,打擊騙子)。
被騙和被盜的區別是,被盜時,使用者是不知情的。而被騙時,轉賬、支付等操作都是使用者自己進行的。比如路上碰到一個人,他說你給我100元,我明天還你110,你轉給他後,他明天沒有還給你。這個是被騙,雖然不賠付,但我們會全力配合警方,爭取儘快追回使用者損失。
有的時候,被盜和被騙很難講清區別。這時,有一個判斷標準就重要。不管是被盜還是被騙,我們都會建議使用者報案,只要報案就會有報案回執。如果立案了,還會有立案回執。警方會根據具體的情況判斷使用者是被騙還是被盜了。
那你猜,在支付寶賬戶沒丟的情形下,錢被人通過這種方式刷走了,這算是被騙還是被盜?資金是被使用者本人的 Apple ID 密碼刷走的,這應該算知情還是不知情?
另外關於這事兒,支付寶今天凌晨還通過微博,釋出了一條安全提示,我們一起來看看:
這根本就沒提找誰賠的事兒嘛(╯°□°)╯︵┻━┻
所以目前這些使用者只好選擇上網發聲,看來解決雲盜竊,果然還得靠雲維權。不過極果君突然意識到了一個騷套路:如果黑客忘了在他的手機上關閉“查詢我的iPhone”的話,受害人登陸 iCloud ,是有機會將黑客的作案手機反鎖,甚至直接定位的。
不過估計沒這麼蠢的賊吧……
有點慌,我應該怎麼防盜刷?
莫慌,做到以下幾點,你的 Apple ID 就沒那麼容易被盜了:
-
不要使用過於簡單的、別處用過的密碼。黑客團隊的一個常見操作就是“撞庫”,用別處洩露的密碼來試探其它網站。如果你的習慣是“一套密碼走天下”,那建議你現在立刻馬上去把Apple ID的密碼改掉。
-
不要與別人共用ID,自己家人也不行。蘋果擁有完善的家庭共享,和兒童裝置監管機制,完全可以做到賬號分離的同時正常付款,同時不耽誤控制兒童裝置的內容和使用。
-
注意密保郵箱的安全。很多人對Apple ID千防萬防,可能改你密碼的郵箱賬戶卻不注意安全性。歷史上很多次大規模的Apple ID被盜,都是因為郵箱漏洞導致的。
-
這一點是老生常談,但還是要再次強調:不要上那些烏七八糟的網站,別看見啥圖 / 連結都往裡點。你盯的是她的胸,人家盯的可是你的錢。
-
最後也是最簡單的一招: 開啟雙重認證!
iOS 12 升級後,應該是預設開啟的。如果你不知道怎麼開,可以看這個Gif:
開啟這項設定之後,不管是誰想登陸 ,都會觸發你手機上的一個提示彈窗。只有輸入彈窗中出現的 6 位隨機驗證碼,才能繼續完成登陸。這相當於給大家的 Apple ID 上了一道最終保險,強烈建議各位開啟它。
對了,針對手機丟了/丟過的朋友,這裡再追加一條:如果手機丟了之後有人給你發簡訊/郵件說,手機正在刷機,點選某某連線檢視 iPhone 定位,千萬別點。
(這種都是假的,圖自V2EX)
這種資訊9成9都是釣魚的。黑客會做一個跟真貨長得極像的假 iCloud 網頁,來騙 Apple ID 的郵箱和密碼。你這邊一點登陸,不光手機成功洗白,賬戶裡的錢怕是也要保不住嘍。
當然,最後還是得祝願大家“衝浪平安”,永遠也別遇上這些糟心的破事兒。如果還是害怕的話……要不咱把支付寶卸了試試?(誤)
本文由極果使用者D.K.原創