被骗1.6万:iPhone又出问题了
共 2446字,需浏览 5分钟
· 2023-07-31
昨天 V2EX 上网友分享的一篇帖子引起了很多的关注,这名网友的家人 Apple ID 已经开启两步验证的情况下,仍然被钓鱼且密码被盗导致账号被盗,诈骗者利用受害者账户信息盗刷 1.6 万元。
盗刷方式是采用 Apple ID 家庭共享的方式进行,也就是将受害者 Apple ID 加入家庭共享并开启付费功能,然后利用其它 Apple ID 账号在 App Store 里消费,为此网友联系苹果退款结果还被拒绝了。
在这起案例中有两个让人搞不清的问题,第一是诈骗者怎么获得受害者 Apple ID 密码的;第二是已经开启两步验证的情况下,诈骗者是如何获得验证码的。
针对这两个问题 V2EX 网友进行了讨论,最终结果是诈骗者利用苹果验证机制的某种漏洞。
先说第一个问题,怎么骗密码:
这个名为 “菜谱大全” 的 App 利用 WebView 伪造了一个弹窗,这个弹窗与 iPhone 日常的弹窗非常类似,正常情况下我们在 AppStore 购买产品时,如果面容或指纹识别没有通过,则会弹出输入密码的选项。
这个 App 自己伪造了个弹窗,如果是非专业用户,可能看到弹窗就以为是商店弹出的,于是习惯性输入账号和密码。
这也让蓝点网想起了盒马先生,之前蓝点网曾经遇到过盒马先生弹出评价窗口,这个窗口也是伪造的 App 内评分窗口,如果选择非五星好评,则提交时盒马会弹出反馈的窗口,也就是不向 AppStore 提交评价;如果用户点的是五星好评,则向 AppStore 提交评价。
所以伪造窗口我是知道的,但通过苹果审核上架到 AppStore 里伪造登录窗口钓鱼 Apple ID 密码的我也是头一回见。
上图中可以看到该 App 的登录窗口是 AppLeID 而非 Apple ID,这应该是用来规避苹果审核的?在原帖中有网友提到如果 App 里提到 Apple 则应声明与苹果无关,所以诈骗者只能用这种字符来规避审核的同时迷惑用户。
第二个问题,有密码不行,验证码怎么偷的:
这个问题是最难的了,伪造窗口骗密码并非难事,但怎么骗验证码呢?受害者自述没有在任何地方输入过六位数的验证码,那诈骗者怎么拿到验证码的呢?
目前讨论的结果是诈骗者可能利用了苹果的某种漏洞,首先是在 App 里利用 WebView 直接打开 iCloud 登录界面,这时候苹果会在 iPhone 上自动弹出验证,如果人脸或指纹验证失败,则需要输入密码,这样也能登录。
实际操作中就是诈骗者打开 iCloud 页面发起登录,然后利用 js 之类的伪造数据,让用户输入密码后获得 Cookie 等。
由于是本机操作的,所以苹果可能没有经过 2FA 就直接允许登录了(更新:有开发者已经验证,确实不需要 2FA 验证码即可直接登录),接着诈骗者利用获取的 Cookie 或者 token 等进行自动化操作,在受害者 Apple ID 中添加受信任的手机号码,一旦添加号码,这意味着诈骗者这就可以完全控制这个账号。
所以受害者自述没有看到 2FA 界面,因为这可能就是没有弹出验证码,仅通过密码就搞定了登录。
添加号码后接下来就可以为所欲为了,包括修改 Apple ID 密码、远程抹掉 iPhone 数据、检查该账号下的所有数据,以及直接加入 Apple ID 家庭组利用绑定的账号发起扣款。
期间诈骗者是没有获得受害者银行卡号、密码、短信验证码这类数据的,所以他们通过 AppStore 内购来扣款,说白了这也是洗钱。
至于洗钱方式,大概率是通过某些电商平台低价销售代充产品,一旦有用户下单后,诈骗者就可以安排盗刷来为目标账户充值代付,这样就搞定了洗钱环节。
这种问题怎么防范:
很难,因为这类伪造的弹窗总能骗到非专业用户。对于专业用户,如果有条件的话可以上硬件密钥,这可以提高安全性,但从上面的案例中可以看到本机鉴权没有发起 2FA 验证,那硬件密钥有用吗?在 Apple ID 上用过硬件密钥的用户可以在 Safari 中打开 https://appleid.apple.com/ 登录测试看看。
另一种降低损失的办法就是无论是绑定的微信支付还是支付宝,都设置限额,设置限额后即便被盗,最多也只能盗刷设置限额以内的金额,不至于造成太大损失。
除了这些办法,目前好像也没什么太好的解决办法了。(更新:有网友提议使用两个不同的 iCloud 账号,一个用于 iCloud,另一个用于 AppStore,这样手机资料不会被抹掉,至少被盗刷时可能还能收到提醒)
原帖地址可查看:https://www.v2ex.com/t/959041
点击关注公众号,阅读更多精彩内容
