新型 Apple ID 诈骗:开启双重认证仍被钓鱼
V2EX 有一个帖子《家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒》,详细描述了一个新的诈骗过程:在 Apple ID 开通双重认证的情况下,被高仿的李鬼 App 诱骗出密码,并被添加信任号码、家庭共享,再通过家庭共享成员完成消费。但整个过程中,原设备并未出现新设备登录时需要的双重认证验证码,也就是说双重验证并未起作用。
在那个帖子中,具体的被骗步骤是这样的:
-
丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。
-
7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露,如图
-
接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招,如图
-
有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。
-
登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证
-
到这一步,他已经掌握了受害者 Apple ID 的所有权限。
-
接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品
疑问
整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。
以上内容来自原帖。至于为何登录了新设备或网页而没有弹出二次验证,是此事的最大疑问。
根据博主 @BugOS 技术组 的测试,受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,这一重大漏洞使得用户扫个脸即可登录。该 App 又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。
@BugOS 技术组 表示,当 iPhone 上出现输入 Apple ID 密码的窗口时,按 Home 键或上划手势尝试退出一下,能退出的都是在诈骗。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
云计算白皮书:预计 2025 年我国云计算整体市场规模将超万亿元
7 月 25 日,中国信息通信研究院发布《云计算白皮书(2023 年)》,这也是中国信通院第九次发布《云计算白皮书》。 据介绍,本次白皮书聚焦过去一年多来云计算产业的新发展新变化,总结梳理国内外云计算政策、市场、技术、应用等方面的发展特点,并对未来发展进行展望。 《白皮书》指出,现阶段云计算战略价值在全球范围内持续提升: 2022 年,全球云计算市场规模为 4910 亿美元(当前约 3.51 万亿元人民币),增速 19%,预计在大模型、算力等需求刺激下,市场仍将保持稳定增长,到 2026 年全球云计算市场将突破万亿美元。 2022 年,我国云计算市场规模达 4550 亿元,较 2021 年增长 40.91%。相比于全球 19% 的增速,我国云计算市场仍处于快速发展期,预计 2025 年我国云计算整体市场规模将超万亿元。 全文下载:云计算白皮书(2023年).pdf
- 下一篇
ioGameMMO —— 回合制网络游戏
ioGameMMO这是一个基于 ioGame 网络编程框架开发的 MMO 类型的回合制网络游戏项目,这类型的游戏涵盖的点比较多,是 ioGame 的最佳实践。我们会尽可能的在项目中演示框架文档中提及的理论特性。 如果你对网络编程感兴趣,或许这是一个很好的入门机会。 如果你是 web 领域的开发者,但对网络游戏开发感兴趣,或许这是一个很好的入门机会。 该项目教学不会讲解框架源码相关的,更多的是偏应用的,就是教你如何使用。如果你能将项目学完,基本上就具备了独立开发游戏的能力了。 项目产生背景 ioGame 在网络编程方面是先进的、富有想象力的、与时俱进的框架。除了能制作网络游戏外,还能用在物联网等其他领域,总之与网络相关的领域基本上都适用。 项目是基于网络编程框架 ioGame 开发的,也是 ioGame 的最佳实践。ioGame 正式发布至中央仓库已经一周年了,经历了近 50 个版本的高速迭代。期间得到了众多开发者的认可,并且这些数据都是可查的,统计数据来源于语雀后台,这些数据都是真实的、客观存在的、活的。与 git star 数据不同的是,因为成本的原因,某宝某多还没有出现能提供这种...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS关闭SELinux安全模块
- 2048小游戏-低调大师作品
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Red5直播服务器,属于Java语言的直播服务器
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7