昨天 V2EX 上網友分享的蘋果一篇帖子引起了很多的關注，這名網友的開啟框藍家人 Apple ID 已經開啟兩步驗證的情況下，仍然被釣魚且密碼被盜導致賬號被盜，兩步石家莊外圍（外圍美女）外圍女（電話微信181-2989-2716）高端外圍預約快速安排30分鐘到達詐騙者利用受害者賬戶信息盜刷 1.6 萬元。驗證

盜刷方式是竟然p竟采用 Apple ID 家庭共享的方式進行，也就是還被將受害者 Apple ID 加入家庭共享并開啟付費功能，然后利用其它 Apple ID 賬號在 App Store 里消費，盜號釣魚登錄點網為此網友聯系蘋果退款結果還被拒絕了。然偽

在這起案例中有兩個讓人搞不清的密碼問題，第一是蘋果石家莊外圍（外圍美女）外圍女（電話微信181-2989-2716）高端外圍預約快速安排30分鐘到達詐騙者怎么獲得受害者 Apple ID 密碼的；第二是已經開啟兩步驗證的情況下，詐騙者是開啟框藍如何獲得驗證碼的。

針對這兩個問題 V2EX 網友進行了討論，兩步最終結果是驗證詐騙者利用蘋果驗證機制的某種漏洞。

先說第一個問題，竟然p竟怎么騙密碼：

這個名為 “菜譜大全” 的還被 App 利用 WebView 偽造了一個彈窗，這個彈窗與 iPhone 日常的彈窗非常類似，正常情況下我們在 AppStore 購買產品時，如果面容或指紋識別沒有通過，則會彈出輸入密碼的選項。

這個 App 自己偽造了個彈窗，如果是非專業用戶，可能看到彈窗就以為是商店彈出的，于是習慣性的輸入賬號和密碼。

這也讓藍點網想起了盒馬先生，之前藍點網曾經遇到過盒馬先生彈出評價窗口，這個窗口也是偽造的 App 內評分窗口，如果選擇非五星好評，則提交時盒馬會彈出反饋的窗口，也就是不向 AppStore 提交評價；如果用戶點的是五星好評，則向 AppStore 提交評價。

所以偽造窗口我是知道的，但通過蘋果審核上架到 AppStore 里偽造登錄窗口釣魚 Apple ID 密碼的我也是頭一回見。

上圖中可以看到該 App 的登錄窗口是 AppLeID 而非 Apple ID，這應該是用來規避蘋果審核的？在原帖中有網友提到如果 App 里提到 Apple 則應聲明與蘋果無關，所以詐騙者只能用這種字符來規避審核的同時迷惑用戶。

第二個問題，有密碼不行，驗證碼怎么偷的：

這個問題是最難的了，偽造窗口騙密碼并非難事，但怎么騙驗證碼呢？受害者自述沒有在任何地方輸入過六位數的驗證碼，那詐騙者怎么拿到驗證碼的呢？

目前討論的結果是詐騙者可能利用了蘋果的某種漏洞，首先是在 App 里利用 WebView 直接打開 iCloud 登錄界面，這時候蘋果會在 iPhone 上自動彈出驗證，如果人臉或指紋驗證失敗，則需要輸入密碼，這樣也能登錄。

實際操作中就是詐騙者打開 iCloud 頁面發起登錄，然后利用 js 之類的偽造數據，讓用戶輸入密碼后獲得 Cookie 等。

由于是本機操作的，所以蘋果可能沒有經過 2FA 就直接允許登錄了，接著詐騙者利用獲取的 Cookie 或者 token 等進行自動化操作，在受害者 Apple ID 中添加受信任的手機號碼，一旦添加號碼，這意味著詐騙者這就可以完全控制這個賬號。

所以受害者自述沒有看到 2FA 界面，因為這可能就是沒有彈出驗證碼，僅通過密碼就搞定了登錄。

添加號碼后接下來就可以為所欲為了，包括修改 Apple ID 密碼、遠程抹掉 iPhone 數據、檢查該賬號下的所有數據，以及直接加入 Apple ID 家庭組利用綁定的賬號發起扣款。

期間詐騙者是沒有獲得受害者銀行卡號、密碼、短信驗證碼這類數據的，所以他們通過 AppStore 內購來扣款，說白了這也是洗錢。

至于洗錢方式，大概率是通過某些電商平臺低價銷售代充產品，一旦有用戶下單后，詐騙者就可以安排盜刷來為目標賬戶充值代付，這樣就搞定了洗錢環節。

這種問題怎么防范：

很難，因為這類偽造的彈窗總能騙到非專業用戶。對于專業用戶，如果有條件的話可以上硬件密鑰，這可以提高安全性，但從上面的案例中可以看到本機鑒權沒有發起 2FA 驗證，那硬件密鑰有用嗎？在 Apple ID 上用過硬件密鑰的用戶可以在 Safari 中打開 https://appleid.apple.com/ 登錄測試看看。

另一種降低損失的辦法就是無論是綁定的微信支付還是支付寶，都設置限額，設置限額后即便被盜，最多也只能盜刷設置限額以內的金額，不至于造成太大損失。

除了這些辦法，目前好像也沒什么太好的解決辦法了。

(責任編輯：熱點)