新型Apple ID诈骗:开启双重认证仍被钓鱼

描述

V2EX 有一个帖子《家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒》,详细描述了一个新的诈骗过程:在 Apple ID 开通双重认证的情况下,被高仿的李鬼 App 诱骗出密码,并被添加信任号码、家庭共享,再通过家庭共享成员完成消费。但整个过程中,原设备并未出现新设备登录时需要的双重认证验证码,也就是说双重验证并未起作用。

Apple

在那个帖子中,具体的被骗步骤是这样的:

丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。

7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露,如图

Apple

接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招,如图

Apple

有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。

登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证

Apple

到这一步,他已经掌握了受害者 Apple ID 的所有权限。

接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品

Apple

疑问

整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。

以上内容来自原帖。至于为何登录了新设备或网页而没有弹出二次验证,是此事的最大疑问。 根据博主 @BugOS 技术组 的测试,受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,这一重大漏洞使得用户扫个脸即可登录。该 App 又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。

Apple

@BugOS 技术组 表示,当 iPhone 上出现输入 Apple ID 密码的窗口时,按 Home 键或上划手势尝试退出一下,能退出的都是在诈骗。

Apple

 

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分