被騙1.6萬：iPhone又出問題了

將Python客棧設(shè)為“星標?”

第一時間收到最新資訊

昨天 V2EX 上網(wǎng)友分享的一篇帖子引起了很多的關(guān)注，這名網(wǎng)友的家人 Apple ID 已經(jīng)開啟兩步驗證的情況下，仍然被釣魚且密碼被盜導致賬號被盜，詐騙者利用受害者賬戶信息盜刷 1.6 萬元。

盜刷方式是采用 Apple ID 家庭共享的方式進行，也就是將受害者 Apple ID 加入家庭共享并開啟付費功能，然后利用其它 Apple ID 賬號在 App Store 里消費，為此網(wǎng)友聯(lián)系蘋果退款結(jié)果還被拒絕了。

在這起案例中有兩個讓人搞不清的問題，第一是詐騙者怎么獲得受害者 Apple ID 密碼的；第二是已經(jīng)開啟兩步驗證的情況下，詐騙者是如何獲得驗證碼的。

針對這兩個問題 V2EX 網(wǎng)友進行了討論，最終結(jié)果是詐騙者利用蘋果驗證機制的某種漏洞。

先說第一個問題，怎么騙密碼：

這個名為 “菜譜大全” 的 App 利用 WebView 偽造了一個彈窗，這個彈窗與 iPhone 日常的彈窗非常類似，正常情況下我們在 AppStore 購買產(chǎn)品時，如果面容或指紋識別沒有通過，則會彈出輸入密碼的選項。

這個 App 自己偽造了個彈窗，如果是非專業(yè)用戶，可能看到彈窗就以為是商店彈出的，于是習慣性輸入賬號和密碼。

這也讓藍點網(wǎng)想起了盒馬先生，之前藍點網(wǎng)曾經(jīng)遇到過盒馬先生彈出評價窗口，這個窗口也是偽造的 App 內(nèi)評分窗口，如果選擇非五星好評，則提交時盒馬會彈出反饋的窗口，也就是不向 AppStore 提交評價；如果用戶點的是五星好評，則向 AppStore 提交評價。

所以偽造窗口我是知道的，但通過蘋果審核上架到 AppStore 里偽造登錄窗口釣魚 Apple ID 密碼的我也是頭一回見。

上圖中可以看到該 App 的登錄窗口是 AppLeID 而非 Apple ID，這應(yīng)該是用來規(guī)避蘋果審核的？在原帖中有網(wǎng)友提到如果 App 里提到 Apple 則應(yīng)聲明與蘋果無關(guān)，所以詐騙者只能用這種字符來規(guī)避審核的同時迷惑用戶。

第二個問題，有密碼不行，驗證碼怎么偷的：

這個問題是最難的了，偽造窗口騙密碼并非難事，但怎么騙驗證碼呢？受害者自述沒有在任何地方輸入過六位數(shù)的驗證碼，那詐騙者怎么拿到驗證碼的呢？

目前討論的結(jié)果是詐騙者可能利用了蘋果的某種漏洞，首先是在 App 里利用 WebView 直接打開 iCloud 登錄界面，這時候蘋果會在 iPhone 上自動彈出驗證，如果人臉或指紋驗證失敗，則需要輸入密碼，這樣也能登錄。

實際操作中就是詐騙者打開 iCloud 頁面發(fā)起登錄，然后利用 js 之類的偽造數(shù)據(jù)，讓用戶輸入密碼后獲得 Cookie 等。

由于是本機操作的，所以蘋果可能沒有經(jīng)過 2FA 就直接允許登錄了（更新：有開發(fā)者已經(jīng)驗證，確實不需要 2FA 驗證碼即可直接登錄），接著詐騙者利用獲取的 Cookie 或者 token 等進行自動化操作，在受害者 Apple ID 中添加受信任的手機號碼，一旦添加號碼，這意味著詐騙者這就可以完全控制這個賬號。

所以受害者自述沒有看到 2FA 界面，因為這可能就是沒有彈出驗證碼，僅通過密碼就搞定了登錄。

添加號碼后接下來就可以為所欲為了，包括修改 Apple ID 密碼、遠程抹掉 iPhone 數(shù)據(jù)、檢查該賬號下的所有數(shù)據(jù)，以及直接加入 Apple ID 家庭組利用綁定的賬號發(fā)起扣款。

期間詐騙者是沒有獲得受害者銀行卡號、密碼、短信驗證碼這類數(shù)據(jù)的，所以他們通過 AppStore 內(nèi)購來扣款，說白了這也是洗錢。

至于洗錢方式，大概率是通過某些電商平臺低價銷售代充產(chǎn)品，一旦有用戶下單后，詐騙者就可以安排盜刷來為目標賬戶充值代付，這樣就搞定了洗錢環(huán)節(jié)。

這種問題怎么防范：

很難，因為這類偽造的彈窗總能騙到非專業(yè)用戶。對于專業(yè)用戶，如果有條件的話可以上硬件密鑰，這可以提高安全性，但從上面的案例中可以看到本機鑒權(quán)沒有發(fā)起 2FA 驗證，那硬件密鑰有用嗎？在 Apple ID 上用過硬件密鑰的用戶可以在 Safari 中打開 https://appleid.apple.com/ 登錄測試看看。

另一種降低損失的辦法就是無論是綁定的微信支付還是支付寶，都設(shè)置限額，設(shè)置限額后即便被盜，最多也只能盜刷設(shè)置限額以內(nèi)的金額，不至于造成太大損失。

除了這些辦法，目前好像也沒什么太好的解決辦法了。（更新：有網(wǎng)友提議使用兩個不同的 iCloud 賬號，一個用于 iCloud，另一個用于 AppStore，這樣手機資料不會被抹掉，至少被盜刷時可能還能收到提醒）

原帖地址可查看：https://www.v2ex.com/t/959041

往期推薦

1、iOS抓包最簡單方案

2、阿里云盤也限速了！

3、9 塊錢建一個網(wǎng)站

4、干貨 | 2023 年如何一步一步的學習 Python

5、"保姆級"圖文教學 | 手把手教你用Python制作可視化大屏！

點擊關(guān)注公眾號，閱讀更多精彩內(nèi)容