#寻找数码点评派#

论坛上有篇关于 iPhone 被钓鱼的帖子，爆了。

事情是这样的。

某天晚上，楼主丈母娘的 iPhone 突然被清除数据，变成出厂设置的状态。

楼主以为是 iOS 出了毛病，正帮着丈母娘重新设置呢。

结果手机陆陆续续收到了关于银行支付的相关短信。

就算敏感的楼主及时发现问题，马上冻结了相关支付功能，也已经被消费了足足 1.6 万元。

从手机被抹除资料到冻结支付完毕，仅仅过了 7 分钟。

这可真 tm 可怕啊。

经过跟网友的讨论排查后，楼主基本捋清了被某个 App 钓鱼的整个过程。

因为此前丈母娘在某个 App 买过虚拟商品，例如会员 VIP 续费啥的。

所以 App Store 很早就绑定了微信免密支付。

案发的前一天下午，丈母娘下载了一个叫「菜谱大全」的 App。

但跟一般的第三方 App 直接注册账号登录不同。

这个「菜谱大全」居然要求用户使用 Apple ID 登录。

图片来源网络

也就是这个操作，让没有启用 iCloud+ 隐藏邮件地址相关功能的丈母娘，泄露了账号。

接着吼，软件就跳出一个长得很像官方输入密码的输入框。

图片来源网络

但其实细看之下，会发现很多漏洞。

比如正规的 Apple ID 输入，大多数是呼出 iPhone 默认输入法，而非用户自己安装的第三方输入法。

以及这个明显得有些离谱的「AppLeID」以及「登陆（官方规范一般为登录）」。

但讲真，这种反钓鱼意识，可能只有像我们这种搞机佬有。

一般的年轻人可能看到这个高仿密码输入框，都很容易犯迷糊了。

更别提楼主丈母娘这种上了年纪的老人家。

就在这把连哄带骗下，楼主丈母娘交出了自己 Apple ID 的密码。

有小伙伴可能要纳闷了。

楼主明明开启了双重认证（2FA）。

一般来讲，在未经授权的机型里面登录 Apple ID，除了账密外还要输入验证码，才能完成 2FA。

这骗子是怎么绕过这步，在另一台手机上对受害者手机进行抹除资料、消费充值等操作的呢？

实现的方式有点硬核，咱尽量用大白话讲讲。

原来吼，骗子事先在 App 内置了一个访问 Apple ID 管理页面的控件.

但骗子通过各种方式隐藏起来，让受害者察觉不出自己在登录账号管理页面。

受害者在交出了自己的账密的同时，也登录了这个页面。

由于是在受害者本身的手机上登录的，只要扫个脸或按下指纹就顺利登录了。

至于这个扫码、指纹，在受害者本身就没有防备的情况下，自然也不是什么难事了。

登录后，骗子直接在网页上操作，反手给受害者账号加入家庭共享。

图片来源网络

再把骗子自己的设备，加入到受害者账号的可信用列表。

这样一来，骗子通过 iCloud 的「查找功能」，给受害者原设备标记丢失，进而强行抹除数据。

接着骗子就可以操作受害者的 Apple ID，利用原先的免密支付功能，趁着原机主还没恢复原机设置的空档，给另一个 App 充值套钱。

这通骚操作，属实是老母猪戴胸罩——一套又一套。

对于楼主和网友们的这个推测，有从事 App 开发的博主也出面证实：

「我写了代码试验，真的不会弹窗。」

看来骗子通过这个方式盗用账号的可能性还是挺大的。

目前楼主已经联系警方立案。

但在联系苹果官方退款的路上，遇到了不少阻碍。

不管是负责 App Store 的客服、高级顾问，还是负责 Apple ID 的客服、高级顾问，都表示拒绝退款。

后续怎样处理还不清楚，但现在看来，除了骗子心术不正，果子的责任也不小。

毕竟这安全漏洞，还是挺严重的。

而且从这个 App 的评论区看，从 2 月份开始就陆陆续续有多名用户反映骗取账密的情况。

评论节选

但居然过了整整近半年，等事情闹大之后，才在今天早上进行下架处理。

果子这么长的反射弧，确实不应该。

辣么面对这种年轻人都不一定防得住的高仿 Apple ID 诈骗，我们有啥可以做的呢？

首先我们可以给绑定 iPhone 钱包的银行卡、支付宝进行限额。

举个例子，我平时用 Apple Pay 主要是地铁，偶尔去下便利店。

再怎么超支，一天也花不到 200 块。

那可以到银行 App，把日限额设置在每天 200（具体看自己情况而定）。

那就算账号被盗，骗子一次也只能刷走我 200 块，减少被盗损失。

支付宝同样也可以设置每月限额。

iPhone 钱包里最好不要绑定太多卡，只绑常用的几个就好。

此外 iCloud 「查找」功能也可以酌情关闭。

查找功能某程度是个双刃剑。

手机丢失时，「查找」功能当然可以发挥大作用。

但如果发生像楼主这种被盗号的情况，骗子也可以强行抹除你手机的资料。

当然最根本的，还是提升反钓鱼意识。

尤其是这种高仿官方 Apple ID 输入框。

每次要输入 Apple ID 密码，养成按 Home 键/上划返回桌面的习惯。

如果是真·官方输入框，要划两次才能退回桌面。

以 App Store 为例

假如是上面所说的高仿·第三方输入框，直接一下回到桌面。

以 QQ 为例（不是高仿但第三方）

假如是非官方软件要求你输入 Apple ID 账密，都需要在这一步留个心眼。

最后希望天下无骗子。