iPhone驚現“盜刷門”！支付寶微信一夜損失上萬，這個漏洞趕緊自查！

支付寶 Apple iPhone · 發表 2018-10-10 22:57:08

摘要：人世間最痛苦的事情是什麼？答：人還在，錢沒了。最近不少蘋果使用者就遭遇了這種困擾，更尷尬的是，這錢還不是自己花沒的：短短几天時間裡，全國各地已有幾千人的 Apple ID 被盜。不同於以往鎖機 - 留 QQ - 敲詐解鎖費的老三步，這次他們遭遇的是雲小偷們的新套路： ...

人世間最痛苦的事情是什麼？答：人還在，錢沒了。

最近不少蘋果使用者就遭遇了這種困擾，更尷尬的是，這錢還不是自己花沒的：短短几天時間裡，全國各地已有幾千人的 Apple ID 被盜。不同於以往鎖機 - 留 QQ - 敲詐解鎖費的老三步，這次他們遭遇的是雲小偷們的新套路：

App Store 盜刷。

從目前的報道和受害者提供出來的截圖來看，極果君大致可以還原出黑客的盜刷步驟：首先，通過撞庫、黑進密保郵箱、釣魚等等手段，黑客拿到了受害者的蘋果賬戶（Apple ID）控制權。

然後，在黑客自己的 iPhone / iPad 上登陸受害者的蘋果賬戶。

接下來重點來了：由於蘋果賬戶的支付手段（微信/支付寶/銀行卡等等）和賬戶繫結而非機器，因此在黑客的手機上，這些賬戶裡的錢，就可以通過遊戲內購、賬戶充值等等形式給“偷”出來。

用這種方法“雲偷錢”，需要的只有一樣東西：受害者的蘋果賬戶密碼。

這樣一來，無需知道你的銀行卡號和密碼，也不用黑進你的支付寶，就可以輕鬆套走你賬戶裡的真金白銀。再加上支付寶對這種消費並無明確的額度上限，所以許多受害者都是一夜損失上千，甚至還有支付寶餘額不夠接著刷花唄的記錄。

（圖片來自網路）

據公開報道，受害使用者的被盜刷金額不一。少則幾百，多則5-6千。至於受災人數，目前已經有數個滿員QQ群。即便按每群 1000 人、人均 1000 塊計算，總金額也妥妥的上了百萬級別。

而當被盜刷的使用者找上蘋果和支付寶的時候，事情變得更尷尬了：

蘋果賬戶被盜，很多人第一時間自然首先想到去找蘋果操作退款。結果有些朋友可以僥倖成功追回損失，而另一些聯絡蘋果退款的使用者，則收穫了客服人員的親切慰問，和一個“系統稽核不通過”的悲傷結局。

這個“系統稽核”是個什麼鬼呢？其實並非是蘋果有意為難，而是他們被逼出來的一個防禦措施：通過蘋果內購-惡意退款模式來盈利的套路，已經產生了海量壞賬，對蘋果和遊戲開發者而言，都是很大的壓力。

因此這兩年蘋果的內購退款政策越收越緊，受害者申請退款卻遭遇稽核失敗，也就不足為奇了。

那麼支付寶賠不賠呢？不好意思，也很難。

首先，支付寶和蘋果賬戶繫結時，你得同意一份授權協議。而在這個不同意就用不了的《付款授權服務協議》中，支付寶是這麼說的：

翻譯一下就是“我只是個奉旨扣錢的，出了問題的話您別找我，誰讓我扣的錢，您去找誰去。”

很多朋友可能會問了，那支付寶的賬戶安全險呢？不好意思，同樣是一團漿糊。

螞蟻金服在知乎上專門解答過這個問題，我們來看看官方是怎麼說的：

我們賠付的原則是：被盜賠，被騙不賠（但會全力配合警方，打擊騙子）。

被騙和被盜的區別是，被盜時，使用者是不知情的。而被騙時，轉賬、支付等操作都是使用者自己進行的。比如路上碰到一個人，他說你給我100元，我明天還你110，你轉給他後，他明天沒有還給你。這個是被騙，雖然不賠付，但我們會全力配合警方，爭取儘快追回使用者損失。

有的時候，被盜和被騙很難講清區別。這時，有一個判斷標準就重要。不管是被盜還是被騙，我們都會建議使用者報案，只要報案就會有報案回執。如果立案了，還會有立案回執。警方會根據具體的情況判斷使用者是被騙還是被盜了。

那你猜，在支付寶賬戶沒丟的情形下，錢被人通過這種方式刷走了，這算是被騙還是被盜？資金是被使用者本人的 Apple ID 密碼刷走的，這應該算知情還是不知情？

另外關於這事兒，支付寶今天凌晨還通過微博，釋出了一條安全提示，我們一起來看看：

這根本就沒提找誰賠的事兒嘛（╯°□°）╯︵┻━┻

所以目前這些使用者只好選擇上網發聲，看來解決雲盜竊，果然還得靠雲維權。不過極果君突然意識到了一個騷套路：如果黑客忘了在他的手機上關閉“查詢我的iPhone”的話，受害人登陸 iCloud ，是有機會將黑客的作案手機反鎖，甚至直接定位的。

不過估計沒這麼蠢的賊吧……

莫慌，做到以下幾點，你的 Apple ID 就沒那麼容易被盜了：

不要使用過於簡單的、別處用過的密碼。黑客團隊的一個常見操作就是“撞庫”，用別處洩露的密碼來試探其它網站。如果你的習慣是“一套密碼走天下”，那建議你現在立刻馬上去把Apple ID的密碼改掉。
不要與別人共用ID，自己家人也不行。蘋果擁有完善的家庭共享，和兒童裝置監管機制，完全可以做到賬號分離的同時正常付款，同時不耽誤控制兒童裝置的內容和使用。
注意密保郵箱的安全。很多人對Apple ID千防萬防，可能改你密碼的郵箱賬戶卻不注意安全性。歷史上很多次大規模的Apple ID被盜，都是因為郵箱漏洞導致的。
這一點是老生常談，但還是要再次強調：不要上那些烏七八糟的網站，別看見啥圖 / 連結都往裡點。你盯的是她的胸，人家盯的可是你的錢。
最後也是最簡單的一招： 開啟雙重認證！

iOS 12 升級後，應該是預設開啟的。如果你不知道怎麼開，可以看這個Gif：

開啟這項設定之後，不管是誰想登陸，都會觸發你手機上的一個提示彈窗。只有輸入彈窗中出現的 6 位隨機驗證碼，才能繼續完成登陸。這相當於給大家的 Apple ID 上了一道最終保險，強烈建議各位開啟它。

對了，針對手機丟了/丟過的朋友，這裡再追加一條：如果手機丟了之後有人給你發簡訊/郵件說，手機正在刷機，點選某某連線檢視 iPhone 定位，千萬別點。

（這種都是假的，圖自V2EX）

這種資訊9成9都是釣魚的。黑客會做一個跟真貨長得極像的假 iCloud 網頁，來騙 Apple ID 的郵箱和密碼。你這邊一點登陸，不光手機成功洗白，賬戶裡的錢怕是也要保不住嘍。

當然，最後還是得祝願大家“衝浪平安”，永遠也別遇上這些糟心的破事兒。如果還是害怕的話……要不咱把支付寶卸了試試？（誤）

本文由極果使用者D.K.原創