这是一个创建于 551 天前的主题,其中的信息可能已经有所发展或是发生改变。
今早我爹发现微信支付的账单内,有四笔发生在凌晨的来自 Apple 的扣款,每笔 999.99 ,一共 4000 元,确认为盗刷情况。 随后便致电了 400-666-8800 的 Apple 客服,客服请求使用 facetime 进行指导,以提供相关信息,在获取到商户单号等信息之后客服承诺三个工作日内将钱款返回。 中午我爹告诉我客服使用 facetime 的情况,因为最近运营商发送的关于使用 facetime 诈骗的提醒,我担心这其中的安全隐患,就重新在 Apple support app 中请求了人工服务,并了解到了今早的电话客服是正确的,并且钱款追回也在进行中,确认了 Apple 客服使用 facetime 进行指导的情况存在。 盗刷的过程推测是,因为我妹与我爹是有一个家庭组的,用于管理我妹的儿童账户相关的限制操作。而对方则是盗用了我爹地账号后,更改了 AppleID 的绑定邮箱,并且邀请了一个陌生账号进入家庭组,通过这个陌生账号使用了家庭组的支付方式进行盗刷操作。 现在是正在等待钱款返回,另外是不知道 Apple ID 是如何泄露且对方是如何通过两步验证的。
第 1 条附言 2024-04-07 19:25:09 +08:00
确实是通过在 Apple ID 的信任号码中加入盗用者自己的号码,用来接收双重认证的短信的方式进行盗用的。
并且,今天下午有一个人自称通过 appleID 的手机号加上了我爹的微信,并说是自己在找代充的时候发现是使用他人 appleID 的方式充钱,觉得是参与了诈骗之类的,自己良心过不去,将 4000 元以微信转账的方式发给了我爹,也确认了收款。
想着是后续假如苹果那边退款回来了,并且那人的游戏充值被回收,就有可能会再找回来,那时候再把多出来的 4000 还给他,假如没有回收的话,那就真的是白拿 4000 块钱了
并且,今天下午有一个人自称通过 appleID 的手机号加上了我爹的微信,并说是自己在找代充的时候发现是使用他人 appleID 的方式充钱,觉得是参与了诈骗之类的,自己良心过不去,将 4000 元以微信转账的方式发给了我爹,也确认了收款。
想着是后续假如苹果那边退款回来了,并且那人的游戏充值被回收,就有可能会再找回来,那时候再把多出来的 4000 还给他,假如没有回收的话,那就真的是白拿 4000 块钱了
 | 1 jr55475f112iz2tu 2024-04-07 14:43:54 +08:00  1 t/959041 当时的情况是 “对方在 App 内置了一个 Webview ,然后访问 appleid.apple.com/sign-in ,这一步系统会出现 Apple ID 的弹窗,如果人脸识别通过了或者输入了正确的密码,这个页面就登录了(可以理解为在内置的 safafi 打开了 Apple ID 的登录页面)。 接下来会出现密码弹窗,受害者输入密码之后,这个 Webview 可以注入一些 js 获取到 Cookie ,然后访问 appleid.apple.com/account/manage ,通过一些自动接收验证码的机制,配合 Cookie 和密码,就可以在受害者 Apple ID 的信任号码中加入他自己的号码,用来接收双重认证的短信。” |
 | 2 dyc12389 2024-04-07 15:07:59 +08:00 难道这个 webview 拉起 sso 登陆的问题,苹果就一直放着没管? |
 | 4 joeyzhou 2024-04-07 17:48:05 +08:00 1 家庭组满 6 个人就不怕了 |
 | 6 liuleisail 2024-04-08 00:46:06 +08:00 via iPhone 家里老头不知道自己的 apple id ,我都是让他录入指纹,老太太直接是面容。这样就安全了很多 |
 | 7 CharTyr OP @liuleisail 我爹是知道自己的 AppleID 这些的,估计是因为平时不注意下载了一些钓鱼 app 导致泄露了 |
 | 9 asdsjw 2024-04-08 09:28:18 +08:00 @czfy 现在的盗刷哪里还需要有这么技术含量东西?,直接 wx 或 a 反响绑定(扫描二维码确认密码)就行了 其实整个过程是知道骗局的,只能说人心复杂的 很多人是明知道有问题只是想着人家盗刷不会这么快,哪知道立马没了 |
| 10 asdsjw 2024-04-08 09:33:43 +08:00 1. 尤其是家里人,需要告知的就是不要随便扫描人家二维码支付 2. 不要脱离平台上交易,就是脱离平台支付款项 3. 很多人会发钓鱼短信,让用户点链接,用 wx 或 a 进行反向绑定 |
| 11 asdsjw 2024-04-08 09:37:11 +08:00 还有账户密码其实有很多诈,利用人心落点让人输入账户密码的,比如购买低价 vip 更多不是用什么技术来骗,这个才是防不胜防的 |
| 12 asdsjw 2024-04-08 09:44:56 +08:00 现在这个诈骗链条完善的,楼主说的附言那条,其实就是低价充值各类 vip ,充值的人很多人被骗的 楼主说的还回来的人居然没被骗 也是小概率事情了 |
 | 13 asdsjw 2024-04-08 09:50:02 +08:00 而且我认为,这个所谓还钱回来的人,很有可能是操作这个事情的人,可能是第一次做这个事胆子小,所以才还钱回来 因为这种找人代充,是不可能知道具体 apple id 他是一种反向绑定操作 |
| 14 CharTyr OP @asdsjw 暂时也不清楚这个人是怎样找回来的,只能推测是从所谓代充得手里给的 appleid 里找到电话加上得,不过目前至少钱是回来了= = |
| 15 CharTyr OP @hiapk 像二楼提出的那种钓鱼方式,如果一直还有这样的 app 在 AppStore ,再怎么说也是 AppStore 审核的问题了 |
| 16 asdsjw 2024-04-08 21:21:39 +08:00 |
| 17 asdsjw 2024-04-08 21:23:33 +08:00 而且我还还留意到很多都 apple id 都是直接给人家的,人家用的诈术 现实就是不需要懂任何技术 |
| 18 asdsjw 2024-04-08 21:25:13 +08:00 漏洞不光发生在 apple 那头,就是大家都有漏洞,所以。。。 |
Select Language