人世间最痛苦的事情是什么?答:人还在,钱没了。


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!


最近不少苹果用户就遭遇了这种困扰,更尴尬的是,这钱还不是自己花没的:短短几天时间里,全国各地已有几千人的 Apple ID 被盗。不同于以往 锁机 - 留 QQ - 敲诈解锁费 的老三步,这次他们遭遇的是云小偷们的新套路:


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!


App Store 盗刷。

钱是咋没的?

从目前的报道和受害者提供出来的截图来看,极果君大致可以还原出黑客的盗刷步骤:首先,通过撞库、黑进密保邮箱、钓鱼等等手段,黑客拿到了受害者的苹果账户(Apple ID)控制权。


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!


然后,在黑客自己的 iPhone / iPad 上登陆受害者的苹果账户。


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!


接下来重点来了:由于苹果账户的支付手段(微信/支付宝/银行卡等等)和账户绑定而非机器,因此在黑客的手机上,这些账户里的钱,就可以通过游戏内购、账户充值等等形式给“偷”出来。


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!


用这种方法“云偷钱”,需要的只有一样东西:受害者的苹果账户密码。


这样一来,无需知道你的银行卡号和密码,也不用黑进你的支付宝,就可以轻松套走你账户里的真金白银。再加上支付宝对这种消费并无明确的额度上限,所以许多受害者都是一夜损失上千,甚至还有支付宝余额不够接着刷花呗的记录。


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!

(图片来自网络)


据公开报道,受害用户的被盗刷金额不一。少则几百,多则5-6千。至于受灾人数,目前已经有数个满员QQ群。即便按每群 1000 人、人均 1000 块计算,总金额也妥妥的上了百万级别。


而当被盗刷的用户找上苹果和支付宝的时候,事情变得更尴尬了:

什么?这钱不能退?

苹果账户被盗,很多人第一时间自然首先想到去找苹果操作退款。结果有些朋友可以侥幸成功追回损失,而另一些联系苹果退款的用户,则收获了客服人员的亲切慰问,和一个“系统审核不通过”的悲伤结局。


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!


这个“系统审核”是个什么鬼呢?其实并非是苹果有意为难,而是他们被逼出来的一个防御措施:通过苹果内购-恶意退款模式来盈利的套路,已经产生了海量坏账,对苹果和游戏开发者而言,都是很大的压力。


因此这两年苹果的内购退款政策越收越紧,受害者申请退款却遭遇审核失败,也就不足为奇了。


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!

那么支付宝赔不赔呢?不好意思,也很难。


首先,支付宝和苹果账户绑定时,你得同意一份授权协议。而在这个不同意就用不了的《付款授权服务协议》中,支付宝是这么说的:


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!


翻译一下就是“我只是个奉旨扣钱的,出了问题的话您别找我,谁让我扣的钱,您去找谁去。”


很多朋友可能会问了,那支付宝的账户安全险呢?不好意思,同样是一团浆糊。


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!


蚂蚁金服在知乎上专门解答过这个问题,我们来看看官方是怎么说的:


我们赔付的原则是:被盗赔,被骗不赔(但会全力配合警方,打击骗子)。


被骗和被盗的区别是,被盗时,用户是不知情的。而被骗时,转账、支付等操作都是用户自己进行的。比如路上碰到一个人,他说你给我100元,我明天还你110,你转给他后,他明天没有还给你。这个是被骗,虽然不赔付,但我们会全力配合警方,争取尽快追回用户损失。


有的时候,被盗和被骗很难讲清区别。这时,有一个判断标准就重要。不管是被盗还是被骗,我们都会建议用户报案,只要报案就会有报案回执。如果立案了,还会有立案回执。警方会根据具体的情况判断用户是被骗还是被盗了。


那你猜,在支付宝账户没丢的情形下,钱被人通过这种方式刷走了,这算是被骗还是被盗?资金是被用户本人的 Apple ID 密码刷走的,这应该算知情还是不知情?


另外关于这事儿,支付宝今天凌晨还通过微博,发布了一条安全提示,我们一起来看看:


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!


这根本就没提找谁赔的事儿嘛(╯°□°)╯︵┻━┻


所以目前这些用户只好选择上网发声,看来解决云盗窃,果然还得靠云维权。不过极果君突然意识到了一个骚套路:如果黑客忘了在他的手机上关闭“查找我的iPhone”的话,受害人登陆 iCloud ,是有机会将黑客的作案手机反锁,甚至直接定位的。


不过估计没这么蠢的贼吧……

有点慌,我应该怎么防盗刷?

莫慌,做到以下几点,你的 Apple ID 就没那么容易被盗了:


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!


  1.  不要使用过于简单的、别处用过的密码。黑客团队的一个常见操作就是“撞库”,用别处泄露的密码来试探其它网站。如果你的习惯是“一套密码走天下”,那建议你现在立刻马上去把Apple ID的密码改掉。

  2. 不要与别人共用ID,自己家人也不行。苹果拥有完善的家庭共享,和儿童设备监管机制,完全可以做到账号分离的同时正常付款,同时不耽误控制儿童设备的内容和使用。

  3. 注意密保邮箱的安全。很多人对Apple ID千防万防,可能改你密码的邮箱账户却不注意安全性。历史上很多次大规模的Apple ID被盗,都是因为邮箱漏洞导致的。

  4. 这一点是老生常谈,但还是要再次强调:不要上那些乌七八糟的网站,别看见啥图 / 链接都往里点。你盯的是她的胸,人家盯的可是你的钱。

  5. 最后也是最简单的一招:开启双重认证!


iOS 12 升级后,应该是默认开启的。如果你不知道怎么开,可以看这个Gif:


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!


开启这项设置之后,不管是谁想登陆 ,都会触发你手机上的一个提示弹窗。只有输入弹窗中出现的 6 位随机验证码,才能继续完成登陆。这相当于给大家的 Apple ID 上了一道最终保险,强烈建议各位打开它。


对了,针对手机丢了/丢过的朋友,这里再追加一条:如果手机丢了之后有人给你发短信/邮件说,手机正在刷机,点击某某连接查看 iPhone 定位,千万别点。


iPhone惊现“盗刷门”!支付宝微信一夜损失上万,这个漏洞赶紧自查!

(这种都是假的,图自V2EX)


这种信息9成9都是钓鱼的。黑客会做一个跟真货长得极像的假 iCloud 网页,来骗 Apple ID 的邮箱和密码。你这边一点登陆,不光手机成功洗白,账户里的钱怕是也要保不住喽。


当然,最后还是得祝愿大家“冲浪平安”,永远也别遇上这些糟心的破事儿。如果还是害怕的话……要不咱把支付宝卸了试试?(误)


    文章评分
    相关文章
    点评 (0)
      加载更多
      • 赞一下
      • 收藏

      文章评分

      购买商品

      扫码下载极果App

      关注我们