近日有网友爆料称,自己丈母娘的iPhone手机开启了Apple ID双重验证,但仍然被钓鱼盗刷。据该网友介绍,事件发生在7月12日晚上23点左右,丈母娘的iPhone突然被重置,手机收到了银行短信。经过联系银行和微信支付进行冻结后,已经有20多笔订单被盗刷,共计1.6万元,并立即报警。
该网友分析认为,很可能遇到了钓鱼行为。丈母娘在7月11日下午在App Store下载了一个名为“菜谱大全”的APP,登录方式是通过Apple ID授权,该APP出现了一个类似密码输入框的弹窗,骗取了Apple ID的密码。令人惊讶的是,整个登录过程竟然没有出现双重认证的弹窗。该网友联系了苹果客服,要求查询有关Apple ID被盗的事宜,但被告知无法查询相关记录。
对此,BugOS技术组表示该漏洞确实存在:“我写了代码试验,真的不会弹窗”。该技术组还解释了绕过双重认证的原理:第三方应用可以打开一个用户看不见的网页,利用隐藏在界面下层的控件来控制用户的操作,例如打开Apple ID设置网页。如果用户的手机是Apple ID的受信设备,则在打开该网页时无需进行双重认证,只需要扫脸即可顺利登录。
针对该问题,一些网友提出了以下对策:
Apple ID不要绑定银行卡,只绑定支付宝,但需要注意每月免密支付有限额;
App Store和iCloud登录使用不同的Apple ID;
不要开启iCloud的查找功能,虽然该功能可以及时锁定设备,但若Apple ID被盗(或添加了受信任的号码),对方也可以锁定和抹掉用户的设备。
这一事件提醒用户在使用Apple ID时要保持警惕,并采取相应的安全措施,以保护个人信息和资金安全。
