您的當前位置:首頁 > 熱點 > 蘋果開啟兩步驗證竟然還被盜號?釣魚App竟然偽造iOS密碼登錄框 – 藍點網 正文
時間:2025-12-10 15:45:22 來源:網絡整理 編輯:熱點
昨天 V2EX 上網友分享的一篇帖子引起了很多的關注,這名網友的家人 Apple ID 已經開啟兩步驗證的情況下,仍然被釣魚且密碼被盜導致賬號被盜,詐騙者利用受害者賬戶信息盜刷 1.6 萬元。盜刷方式 義烏(上門服務)上門服務資源【電話微信1662+044-1662】提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達
昨天 V2EX 上網友分享的蘋果一篇帖子引起了很多的關注,這名網友的開啟框藍家人 Apple ID 已經開啟兩步驗證的情況下,仍然被釣魚且密碼被盜導致賬號被盜,兩步義烏(上門服務)上門服務資源【電話微信1662+044-1662】提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達詐騙者利用受害者賬戶信息盜刷 1.6 萬元。驗證
盜刷方式是竟然p竟采用 Apple ID 家庭共享的方式進行,也就是還被將受害者 Apple ID 加入家庭共享并開啟付費功能,然后利用其它 Apple ID 賬號在 App Store 里消費,盜號釣魚登錄點網為此網友聯系蘋果退款結果還被拒絕了。然偽
在這起案例中有兩個讓人搞不清的密碼問題,第一是蘋果義烏(上門服務)上門服務資源【電話微信1662+044-1662】提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達詐騙者怎么獲得受害者 Apple ID 密碼的;第二是已經開啟兩步驗證的情況下,詐騙者是開啟框藍如何獲得驗證碼的。
針對這兩個問題 V2EX 網友進行了討論,兩步最終結果是驗證詐騙者利用蘋果驗證機制的某種漏洞。
先說第一個問題,竟然p竟怎么騙密碼:
這個名為 “菜譜大全” 的還被 App 利用 WebView 偽造了一個彈窗,這個彈窗與 iPhone 日常的彈窗非常類似,正常情況下我們在 AppStore 購買產品時,如果面容或指紋識別沒有通過,則會彈出輸入密碼的選項。
這個 App 自己偽造了個彈窗,如果是非專業用戶,可能看到彈窗就以為是商店彈出的,于是習慣性的輸入賬號和密碼。
這也讓藍點網想起了盒馬先生,之前藍點網曾經遇到過盒馬先生彈出評價窗口,這個窗口也是偽造的 App 內評分窗口,如果選擇非五星好評,則提交時盒馬會彈出反饋的窗口,也就是不向 AppStore 提交評價;如果用戶點的是五星好評,則向 AppStore 提交評價。
所以偽造窗口我是知道的,但通過蘋果審核上架到 AppStore 里偽造登錄窗口釣魚 Apple ID 密碼的我也是頭一回見。
上圖中可以看到該 App 的登錄窗口是 AppLeID 而非 Apple ID,這應該是用來規避蘋果審核的?在原帖中有網友提到如果 App 里提到 Apple 則應聲明與蘋果無關,所以詐騙者只能用這種字符來規避審核的同時迷惑用戶。
第二個問題,有密碼不行,驗證碼怎么偷的:
這個問題是最難的了,偽造窗口騙密碼并非難事,但怎么騙驗證碼呢?受害者自述沒有在任何地方輸入過六位數的驗證碼,那詐騙者怎么拿到驗證碼的呢?
目前討論的結果是詐騙者可能利用了蘋果的某種漏洞,首先是在 App 里利用 WebView 直接打開 iCloud 登錄界面,這時候蘋果會在 iPhone 上自動彈出驗證,如果人臉或指紋驗證失敗,則需要輸入密碼,這樣也能登錄。
實際操作中就是詐騙者打開 iCloud 頁面發起登錄,然后利用 js 之類的偽造數據,讓用戶輸入密碼后獲得 Cookie 等。
由于是本機操作的,所以蘋果可能沒有經過 2FA 就直接允許登錄了,接著詐騙者利用獲取的 Cookie 或者 token 等進行自動化操作,在受害者 Apple ID 中添加受信任的手機號碼,一旦添加號碼,這意味著詐騙者這就可以完全控制這個賬號。
所以受害者自述沒有看到 2FA 界面,因為這可能就是沒有彈出驗證碼,僅通過密碼就搞定了登錄。
添加號碼后接下來就可以為所欲為了,包括修改 Apple ID 密碼、遠程抹掉 iPhone 數據、檢查該賬號下的所有數據,以及直接加入 Apple ID 家庭組利用綁定的賬號發起扣款。
期間詐騙者是沒有獲得受害者銀行卡號、密碼、短信驗證碼這類數據的,所以他們通過 AppStore 內購來扣款,說白了這也是洗錢。
至于洗錢方式,大概率是通過某些電商平臺低價銷售代充產品,一旦有用戶下單后,詐騙者就可以安排盜刷來為目標賬戶充值代付,這樣就搞定了洗錢環節。
這種問題怎么防范:
很難,因為這類偽造的彈窗總能騙到非專業用戶。對于專業用戶,如果有條件的話可以上硬件密鑰,這可以提高安全性,但從上面的案例中可以看到本機鑒權沒有發起 2FA 驗證,那硬件密鑰有用嗎?在 Apple ID 上用過硬件密鑰的用戶可以在 Safari 中打開 https://appleid.apple.com/ 登錄測試看看。
另一種降低損失的辦法就是無論是綁定的微信支付還是支付寶,都設置限額,設置限額后即便被盜,最多也只能盜刷設置限額以內的金額,不至于造成太大損失。
除了這些辦法,目前好像也沒什么太好的解決辦法了。
恐怖模擬游戲《動物精神病》將于9月23日正式登陸Steam2025-12-10 15:20
《真正男人漢》民圓足游《豪杰任務》收銜最強MOBA槍戰2025-12-10 15:18
ChinaJoy逛出愛感情?女神親遞盒飯怦然心動2025-12-10 15:17
《符文工廠5》V.1.1.0版本更新 現已支撐同性結婚2025-12-10 14:39
氣球上的小螞蟻的故事2025-12-10 14:37
微硬:XGP非常、非常可延絕 出有正在燒錢2025-12-10 14:11
齊能女神婁藝瀟正式減盟齊新戚閑競技彈弓足游《彈彈島2》2025-12-10 13:49
ChinaJoy2017《敢達爭鋒對決》王牌機師招募戰 衰況絕后!2025-12-10 13:33
《戰神4》戰斗視頻曝光 奎托斯父子二人迷霧探索2025-12-10 13:32
齊新冒險正在此動身 《真女神轉逝世5》上市飽吹片賞識2025-12-10 13:07
DOTA卡牌游戲《Artifact》細節曝光 可控制5個英雄2025-12-10 15:44
重燃典范IP 《啪啪三國2》公測前表態CJ2025-12-10 15:44
《彩虹六號:圍攻》IGN重新挨分8.5 有深度遠景光明2025-12-10 15:41
《荒漠大年夜鏢客3》開辟中 或許需供3年才氣弄定2025-12-10 15:36
新聞模擬與輿論操縱創《評論員》在Steam平臺發布2025-12-10 15:21
《彩虹六號:同種》出售后免費更新內容公布2025-12-10 14:51
《魂斗羅:回去》公布“違約”靜態海報 齊力保護8.8公測!2025-12-10 14:19
《怪物獵人:天下》新演示 迷幻的珊瑚下本挨獵2025-12-10 13:46
《這就是警察2》發售時間公布 今年秋季全平臺登陸2025-12-10 13:28
亞瑟戰喬我配音演員或正在一款可駭游戲新做中開做2025-12-10 13:11
免責聲明:本站所有信息均來源于互聯網搜集,并不代表本站觀點,本站不對其真實合法性負責。如有信息侵犯了您的權益,請告知,本站將立刻刪除。
Copyright © 2025 Powered by 蘋果開啟兩步驗證竟然還被盜號?釣魚App竟然偽造iOS密碼登錄框 – 藍點網,桑間濮上網 sitemap
