一直以來(lái)，信息的安全性都是蘋果的“金字招牌”。作為全球知名的科技公司，蘋果通過(guò)相對(duì)完善的加密技術(shù)和隱私政策來(lái)保護(hù)用戶的個(gè)人信息，并強(qiáng)調(diào)用戶的個(gè)人信息高于一切。

然而就在本周，有網(wǎng)友稱自己丈母娘的iPhone在開啟了Apple ID雙重認(rèn)證后，仍然被“釣魚”騙走了一萬(wàn)五千元，一時(shí)間引發(fā)了用戶和社會(huì)公眾對(duì)于蘋果手機(jī)安全性的擔(dān)憂。

那么關(guān)于網(wǎng)友丈母娘被騙一萬(wàn)五千元這件事的經(jīng)過(guò)是如何的呢？咱們來(lái)看看當(dāng)事人，也就是V2EX社區(qū)用戶airycanon是怎么說(shuō)的：

給大家再簡(jiǎn)單梳理一下，事情的經(jīng)過(guò)大概是：

當(dāng)事人的家人下載了一個(gè)名為《菜譜大全》的App，在登錄時(shí)選擇了使用Apple ID授權(quán)登錄。

這里敲一個(gè)重點(diǎn)，當(dāng)事人的家人在登錄選項(xiàng)時(shí)未選擇隱藏自己的Apple ID，這也導(dǎo)致了騙子直接獲取到了用戶完整的Apple ID信息，所以我們?cè)谑褂肁pple ID登錄第三方網(wǎng)站時(shí)，盡量選擇隱藏咱們的郵箱地址。

隨后，App內(nèi)彈出了一個(gè)密碼輸入框，此時(shí)騙子便獲取了全部的賬號(hào)、密碼。并且根據(jù)當(dāng)事人強(qiáng)調(diào)，在整個(gè)過(guò)程中，都沒有出現(xiàn)雙重認(rèn)證的彈窗。

注意一下，這里App內(nèi)彈出的密碼輸入框顯然是一個(gè)仿照系統(tǒng)界面設(shè)計(jì)的密碼輸入界面，尚不說(shuō)普通消費(fèi)者能否分辨，就連像我這種行業(yè)從業(yè)者不仔細(xì)觀察的話，也很難分辨。

這里是Apple ID，而不是Apple ID

而為啥沒有觸發(fā)蘋果的雙重認(rèn)證？

根據(jù)博主@BugOS技術(shù)組的測(cè)試，這是由于騙子通過(guò)受信設(shè)備中的應(yīng)用拉起隱藏WebView訪問(wèn)Apple Id.apple.com，因此無(wú)需進(jìn)行雙重驗(yàn)證，用戶只要進(jìn)行簡(jiǎn)單的Face ID認(rèn)證即可。

事情到這里，騙子就已經(jīng)獲取了用戶的賬號(hào)和密碼，并且成功繞過(guò)Apple ID的雙重認(rèn)證，在蘋果官網(wǎng)添加了自己的手機(jī)號(hào)。如果用戶的Apple ID中綁定了例如支付寶、微信等支付方式，那么騙子的騙局便形成了成功的閉環(huán)，通過(guò)商店購(gòu)物的形式瘋狂套現(xiàn)。

另外值得注意的是，這里的騙子為了防止用戶收到支付交易信息的短信，提前對(duì)用戶的手機(jī)進(jìn)行了遠(yuǎn)程的重置。對(duì)于很多沒有日常使用iCloud進(jìn)行數(shù)據(jù)備份的用戶來(lái)說(shuō)，可能會(huì)比金錢的損失更麻煩。

以上便是該網(wǎng)友丈母娘被騙的全過(guò)程，總的來(lái)看騙子的騙術(shù)并不高明，只是利用了蘋果系統(tǒng)的一個(gè)邏輯漏洞，獲取到了用戶的賬號(hào)、密碼，并通過(guò)軟件內(nèi)置的瀏覽器成功繞過(guò)雙重認(rèn)證直接登錄，最后綁定上騙子自己的手機(jī)號(hào)便大功告成。

那么我們應(yīng)該怎樣避免被騙呢？我們總結(jié)了以下幾點(diǎn)：

1.不下載來(lái)路不明的App；

2.在其他網(wǎng)站內(nèi)登錄Apple ID時(shí)，盡量選擇隱藏自己的郵箱地址；

3.定期更換Apple ID的密碼；

4.定期檢查自己Apple ID下綁定的訂閱服務(wù)；

5.Apple ID綁定的免密支付賬戶，盡量不要存有太多余額。

另外，博主@BugOS技術(shù)組也提供了一個(gè)防釣魚的小技巧：當(dāng)iPhone上出現(xiàn)輸入Apple ID密碼的窗口時(shí)，按Home鍵或上劃手勢(shì)嘗試退出一下，只要能退出的都是釣魚網(wǎng)站。