“(我的)苹果ID被盗,1分钟刷走4140元!”
近期,不断有小红书、抖音等平台的用户发帖,诉说他们的账户被盗刷的经历,有人因此事加入的群在组建后几天内,成员就超200人,中招者损失的金额从数百元到上万元不等。
一位接近中消协的人士向记者透露,近期苹果的客诉量较高。
这不是苹果ID被盗刷事件首次发生,早在2018年,类似情况就曾集中出现。
如今,行骗者比以前更 “精”,不搞老套的钓鱼链接,反而伪装成电商平台的卖家,诱导消费者掉入其精心设计的骗局。很多人直到收到扣款短信,才发现被刷走多笔资金。
当盗刷黑手不断升级,苹果用户该如何守护好自己的ID,不让手机变成别人的“提款机”?
盗刷“幽灵”来袭:平台“买卡”,苹果ID却被窃
“我在闲鱼上刷到的‘次卡’便宜了不少,还觉得捡着宝了。”今年国庆中秋假期期间,冯平(化名)点击卖家发来的链接时,未曾料想到会损失钱财。
沟通中,卖家首先确认了冯平使用的是苹果手机,再以“需绑定苹果账号激活”为由,让其提供ID和密码。“我犹豫了一下,问‘为什么要密码’,对方说‘苹果设备都这样’。”冯平想到,自己平时购买商品付费时还需要进行人脸识别,觉得“应该没太大风险”,便将相关信息发送了过去。
卖家随后又发来消息:“需要验证码完成登录,你看一下手机短信。”冯平回忆,自己一共两次将设备码或验证码发给对方。
不曾想,其手机随后弹出多条支付宝扣款消息:支付了3笔648元款项,共1944元,用于购买某平台“会员币”。
“一下子蒙了,不是我本人消费的。”冯平说,自己慌得手都在抖,赶紧关闭了支付宝免密支付功能,并电话联系闲鱼平台披露的商家手机号。对方承认是卖家,但一听到“盗刷”便挂断电话,随后失联。
另一名网友方方(化名)告诉记者,她因购买山姆会员卡被盗刷超4500元,其所在的受害者群组仅数日就超200人。“很多人还在其他群,受害人数或上千。”在她看来,“这是苹果系统‘漏洞’导致。在扣款时,没有要求我输入密码或者进行人脸识别,均为自动扣费而且也非我本人操作”。
一位接近中消协的人士向记者透露,近期苹果相关客诉量较高。记者查询注意到,截至10月29日,黑猫投诉平台关于苹果ID被盗刷的投诉超3700条。
每经记者了解到,中招的苹果用户,大多因购买低价商品或服务,如山姆会员体验卡、健身卡、剪映会员、QQ音乐会员等,在闲鱼、抖音、小红书等平台与卖家沟通时,被诱导提供苹果ID及密码。
具体来看,行骗者一般以“登录验证”为由索要验证码,随后可能诱导用户点击不明链接,借着苹果在短信中未详细提示该验证码的用途,偷偷关闭用户设置的人脸验证并开启免密支付等功能,进而绕过苹果的“双重”防护,实施多笔盗刷。不少用户虽未直接绑定银行卡,但因苹果ID关联支付宝或微信,仍被扣款。
盗刷者绕过“双重”防护:“木马链接”迭代为“电商伪装”
值得注意的是,这不是苹果ID首次遭遇大面积盗刷,2018年就曾集中出现。当时苹果称,调查发现少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗,强烈建议所有用户开启双重认证。
而近期再度爆发的盗刷事件,行骗者手法已迭代升级。
“与2018年不同,这次骗局更隐蔽。”中国社会科学院财经战略研究院副院长尹振涛向每经记者指出,以往大多是普通链接植入木马等,如今行骗者依托交易场景,以“商家”身份获取信任,降低消费者警惕心。“有商户、有社交⋯⋯行骗者的外部挂靠链接更加丰富。”
7年过去,为何盗刷问题仍未阻断?
尹振涛多次参与我国支付领域政策解读,他告诉记者,本质在于苹果免密支付的安全设置。在苹果支付的背后,很多人挂的不是银行卡,而是第三方支付工具。“这些支付工具又通过免密支付的权限,挂着我们的银行账户,链条复杂。但风险集中在前端,即苹果支付的安全认证环节。”
多位遭遇盗刷的网友称,由于苹果方面未明确提示“验证码”的具体用途,导致其在不知情的情况下泄露信息。
10月13日至10月28日,记者数次联系苹果方面,但未获回应。每经记者还以消费者身份致电苹果客服,对方坦言近期的确有多起盗刷投诉,并指出把苹果ID和密码发给别人是相关用户遭遇盗刷的核心原因。“苹果账户密码是唯一的核心身份凭证,为简化会员订阅、应用购买等操作,系统支持免密支付功能,但该功能需基于身份验证通过后生效。”
上述苹果客服进一步表示,“(不明钓鱼)链接常伪装成‘账户验证’‘权益领取’页面,诱导用户输入账户密码并点击授权,进而窃取权限”。其强调,苹果官方不会以单独短信形式发送授权登录请求,双重认证的验证信息均通过受信任设备的系统通知推送,或伴随通知同步发送验证码,需在设备端完成确认操作。
中消协曾强调,即使开通免密支付,经营者对于消费者每次交易仍应尽到提示义务,经消费者确认后方可进行支付、扣款交易,免密支付应仅限于免除消费者输入密码。
尹振涛指出,国内多数平台对异常登录会及时提醒,强制二次验证甚至临时锁号,而苹果在风险识别和干预机制上有些“水土不服”。“苹果将安全保障交由用户自主选择,在‘体验’与‘安全’之间更倾向于前者,防护之‘盾’不够坚固,攻击之‘矛’便有机可乘。”
记者与受访者提供的行骗商家交流,被告知需提供苹果ID
