Apple ID频繁遭盗刷,苹果安全漏洞引发用户恐慌
Apple ID频繁遭盗刷,苹果安全漏洞引发用户恐慌
近日,多位苹果用户在小红书等平台反映,自己的Apple ID频繁遭遇盗刷,且与支付宝免密支付账户绑定后,导致多项线上消费被未经授权发起。根据不完全统计,受害用户的人均经济损失已达数千元。商界媒体在黑猫投诉平台查询发现,关于“苹果盗刷”的相关投诉高达4536条,问题范围广泛,亟需引起重视。
陌生用户悄然加入家庭账户,凌晨盗刷十数笔
11月13日晚,深圳的用户小亚(化名)突然收到一条短信,提示其Apple账户出现异常,需要点击链接开启双重验证。小亚回忆称,这个链接指向一个极为逼真的钓鱼网站,几乎完美复刻了苹果官网的界面,且上面显示了他的Apple ID。小亚按照提示输入了密码,并看到“验证成功”的信息。
然而,事后他发现,自己的Apple账户被陌生用户加入了家庭账户,且在当晚凌晨,账户被盗刷了十数笔,损失惨重。
奇怪的是,11月17日早晨,小亚起床后发现自己的账户已被盗刷近3000元。
事件发生后,小亚立即报警,并与警方一同梳理事件经过,逐渐揭开了事情的真相:
在11月17日凌晨4点28分,一个名为“向俊权”的账户悄然加入了小亚的“苹果家庭账户”。随后,该账户通过小亚的账户在一款名为《热血传奇》的游戏中进行了13笔消费,总金额达到2880元。由于多笔消费金额相似,小亚的银行系统识别到异常,并及时锁定了账户。紧接着,在4点46分,“向俊权”迅速退出了小亚的家庭账户,并删除了所有痕迹。
那么,“向俊权”是如何成功加入小亚的家庭账户的呢?
小亚翻开自己的iCloud邮箱,发现11月13日下午他曾收到一封提醒邮件,通知他有一个国外号码被添加到了“双重验证的安全手机范围”中。这意味着,黑客可能通过钓鱼网站获取了小亚的Apple ID和密码,从而绕过了安全措施,成功将陌生设备添加到小亚的账户中。
小亚表示:“iCloud邮箱不常用,在被盗刷之前,我并没有看到那封邮件。”因此,他判断,正是这个受信任的电话号码帮助“向俊权”成功加入了账户。
报警后,小亚在小红书上分享了自己的遭遇,引发了大量网友的讨论。很多人留言表示,自己也经历了类似的事件,且大多发生在广东地区。
同样的事件也发生在汕头的标标(化名)身上。标标表示,她也在11月13日下午收到了来自1069开头的短信,要求进行苹果账户认证。她按照提示输入了自己的Apple ID和密码,并完成了二次验证。然而,直到11月17日凌晨4点,一个名为“刘静波”的账户成功加入了标标的家庭账户,并进行了17笔消费。大部分消费(15笔)都是328元的《热血传奇》游戏充值,还有一两笔小额消费则用于快手充值。由于银行卡余额不足,甚至开始扣除标标的花呗额度。
标标在发现账户异常消费后,立刻采取了措施,但由于不清楚盗刷行为的具体来源,他只能逐一解绑账户、关闭免密支付,并将“刘静波”从家庭账户中移除。
与小亚类似,标标也曾不慎访问过一个“钓鱼网站”,并且她的Apple ID开通了支付宝免密支付。不过,不同的是,标标的手机没有出现其他受信任设备的记录。
目前,标标正在向苹果申请退款,但第一次申诉已被拒绝。她浏览了小红书上的众多相关帖子后发现,大部分人都在申诉时遭遇失败,且每人只有两次申诉机会。标标已经尝试了“黑猫投诉”和315等渠道,但她表示,追回资金的可能性似乎不大。
款项追回难,责任归谁?
早在2018年10月,多个地区的苹果手机用户就反映自己遭遇了苹果支付的盗刷事件。当时的报道显示,受害人数已超过700人。近年来,这类问题仍然存在,并且呈现出扩大的趋势。根据在黑猫投诉平台的查询,关于苹果盗刷的投诉已达4536条。今年8月,小红书上也涌现出大量盗刷受害者,他们的遭遇与小亚、标标类似,都是在访问钓鱼网站后,账户信息被窃取,且都绑定了支付宝的免密支付功能。盗刷事件多发生在凌晨,当受害者通常已熟睡时,陌生账户通过家庭共享功能被加入,随后开始盗刷。
这些受害者的资金去向不尽相同:有的被盗刷至《王者荣耀》《热血传奇》等游戏充值,有的则用于快手、抖音等平台的充值。在一些分享中,甚至有用户指出,丢失未清除账户信息的手机设备也可能成为盗刷的目标,且有些人在修改密码后仍可能遭遇“二次盗刷”。
根据受害者们的总结,盗刷的流程大致相同:在不知情的情况下,骗子通过绑定“受信任电话号码”的方式操作受害者的账户。这个“受信任号码”使得骗子能够绕过部分验证,继续对账户进行操作。
追回款项难题
一旦盗刷发生,追回款项成为受害者面临的最大难题。许多人选择报警,但案件的处理通常难以迅速解决问题。有的受害者尝试联系盗刷资金流向的游戏公司,但即便公司配合,也难以追回款项。一位用户反映,他在联系《三国:谋定天下》游戏客服时被告知,只有警方介入,游戏公司才会协助调查。
标标就遇到了类似困境。她表示,自己从未下载过《热血传奇》,但一旦剔除“刘静波”账户后,就再也无法查看到该账户的消费记录,这使得追款几乎不可能。
苹果公司是否应负责?
面对这起频发的盗刷事件,越来越多的受害者将责任指向苹果公司。小亚表示:“我完全没想到,如果别人加入了我的家庭账户,他们竟然能直接使用我绑定了支付宝免密支付的账户进行消费。苹果难道不应该在别人加入家庭账户时获得我的授权吗?”
标标也提出了同样的疑问:“为什么家庭共享功能可以直接加入,且不需要我的同意就能进行资金操作?”
针对这些问题,苹果客服解释称,如果用户启用了iMessages功能,其他人通过获取账号密码后,可以通过iMessages发送邀请加入家庭账户,这个过程不需要再次授权。
对于多次盗刷的情况,苹果客服建议用户报警并提高安全防范意识。虽然苹果的家庭共享功能本意是为了便捷用户,但如今却成了盗刷的一个漏洞。
专家观点:社工攻击与系统漏洞
相关安全专家指出,这种情况属于社交工程攻击(社工攻击)。简单来说,黑客并非通过直接攻击苹果系统进行盗刷,而是利用了用户交互过程中的安全漏洞,如钓鱼网站、虚假支持电话等。这些漏洞虽然在苹果的技术层面并不属于系统安全问题,但被黑灰产团伙利用后,安全风险被放大。
专家进一步表示,苹果在设计和审核流程上存在一定失误。平台方对安全风险的忽视,尤其是对简单安全验证的放行,导致这些漏洞被恶意利用。专家认为,苹果公司应对这些盗刷事件承担一定的责任,尤其是在事件发生后,苹果应快速反应并采取有效措施来保护用户账户安全,同时提高告知义务,确保用户账户经过多重验证。
律师建议:用户的责任与维权路径
北京市中闻律师事务所合伙人李亚指出,用户在遭遇此类情况时,首先应提高警惕,尤其是在接到可疑短信时,务必谨慎打开,特别是涉及支付的指令。此外,苹果在设计产品时并未完全考虑到这些潜在的安全漏洞,虽然并不一定涉及合规问题,但可以视为设计上的缺陷。
李亚还提醒,受害用户首先应报警处理,并尽快与苹果公司沟通,明确自己被盗刷的原因。用户应向苹果提出建议,要求平台承担相应责任,并反映此问题给相关监管部门。如果多个用户在同一问题上与苹果公司沟通无果,受害者应考虑向监管机构投诉,寻求进一步的维权支持。
总之,尽管社交工程攻击在盗刷事件中扮演了重要角色,但苹果作为平台方,未能有效防范这一风险,也应承担一定的责任,尤其是在保护用户账户安全方面。受害者的维权之路充满困难,但提升用户安全意识和加强平台责任仍是解决这一问题的关键。