手机ID频遭盗刷,苹果安全百密一疏?

摘要:当时标标立刻发现了消费异常,但让标标无力的是,他并不知道这一盗刷行为是源于什么,只能挨个进行账户解绑、关闭自己的免密支付,并将“刘静波”剔除了自己的家庭用户。与小亚相同的是,标标也曾点进一个“钓鱼网站”,且自己的苹果ID也开通了支付宝免密支付。不同的是,标标的

当时标标立刻发现了消费异常,但让标标无力的是,他并不知道这一盗刷行为是源于什么,只能挨个进行账户解绑、关闭自己的免密支付,并将“刘静波”剔除了自己的家庭用户。与小亚相同的是,标标也曾点进一个“钓鱼网站”,且自己的苹果ID也开通了支付宝免密支付。不同的是,标标的手机并未出现别的受信任手机账号。目前,标标正在苹果进行退款申诉,但初次申诉已经失败。标标翻看了小红书众多分享贴后表示,“只有两次申诉机会,大多数人两次申诉都没有成功,我现在黑猫投诉、315等渠道都试过了,但我感觉追回可能性也不大。”-Business Show-02款项追回难谁该负责?实际上,早在2018年10月,就曾有全国多地苹果手机用户反映称,他们在苹果支付上遭遇了盗刷事件。当时据多家媒体报道称,被盗刷人数超700人。「商业秀」在黑猫投诉上搜索发现,围绕苹果盗刷的投诉达到了4536条。今年8月,小红书也涌现多位盗刷受害者,他们的经历大多与小亚、标标类似,都是通过一个钓鱼网站获取用户的账号和密码,而这些用户也都绑定了支付宝免密交易。且多发于凌晨,在多数人都已熟睡的时刻,一位陌生用户开始加入受害者的家庭用户,盗刷开启。小红书上多位受害者表示,他们被盗刷的资金去向不同,有的用于《王者荣耀》、《热血传奇》等游戏中购买游戏货币,有的用于快手、抖音等软件充值。在一些案例分享中,也有用户表示,未抹除账户信息但丢失的手机设备也可能会被盗刷,还可能会出现被“二次盗刷”。而且这些被二次盗刷的用户在修改了账号密码后,还可能会再次被盗刷。他们交流总结发现,背后的流程何其相似:用户的账户在不知情的情况下,被人绑定了一个“受信任电话号码”。通过这个“受信任电话号码”,骗子可以再次对他们的账户进行操作。盗刷发生后,追回款项成为最大的难题。如今,多位受害者首选报警。据「商业秀」了解,报警的多位受害者也均表示知道款项追回的可能性不大;也有用户联系到最终款项流向的游戏公司,但游戏公司即使配合,也难以找回。一位被盗刷至《三国:谋定天下》游戏充值的用户称,他在联系该公司客服后得到反馈,如果警方联系,他们会进行配合。标标则告诉「商业秀」,“我从来就没有下载过《热血传奇》这个游戏,也联系不上那个公司。在我剔除‘刘静波’这个账户后,具体的消费信息在那个账户上,我也就再也查不到了,又怎么追回呢?”最终,多位被盗刷的苹果用户将矛头指向了苹果公司。 小亚告诉「商业秀」,“我完全不知道,如果一个人加入到你的家庭账户里面去,他就有权使用我绑定了支付宝免密功能的苹果支付账户,在苹果商店进行消费。在别人加入我的苹果家庭用户这个过程中,苹果难道不需要再次获得我的授权吗?”而因别人遭遇的“二次盗刷”经历,如今标标即使修改了自己的苹果账号密码,依然解绑了自己苹果手机上的所有银行卡。他提出了和小亚一样的疑问,“我不明白为什么家庭共享可以不需要经过同意直接加入,且可以进行资金操作。”针对家庭账户这一问题,「商业秀」致电了苹果客服。苹果客服表示,如果用户开通了iMessages功能,当别人获得了账户密码后,可以通过登录账号,发送iMessages信息邀请别人加入自己的家庭用户,在这个过程中,不需要二次授权。面对多位用户遭遇盗刷问题,苹果客服则表示,建议遭遇此类情况的用户可以进行报警处理,并提高安全意识。而苹果本是为了用户方便的家庭群组功能,成了此次盗刷的漏洞。对此,「商业秀」询问了相关安全专家,对方称,“这应该属于社工攻击(社交工程欺诈,包括网络钓鱼信息、虚假支持来电和其他诈骗)。简单而言,这就是利用了一些用户交互过程当中的漏洞,而不是针对苹果系统本身发起的涉及到安全技术的攻击。”该安全专家同时表示,苹果在流程上也存在一定失误,苹果觉得这些风险不会被利用,或是经过了一次或者两次简单的安全验证就放行,但其实被黑灰产利用后,这些漏洞就会放大。他指出,苹果对此肯定是有一定责任的,起码发生盗刷事件后,首先,作为平台方,应该快速反应并制止;其次,应该尽到告知义务,用户的账户要经过多次验证,尽可能地保护苹果用户的账户安全。北京市中闻律师事务所合伙人李亚告诉「商业秀」,“用户需要去核实这种网站真伪的义务,类似短信都要慎重打开,涉及支付指令更应慎重。苹果在产品设计上并不是‘合规不合规’的问题,只能说,它可能会存在一定缺陷。”针对已经出现盗刷情况的用户,李亚提醒,“第一时间肯定是要报警;其次,相应人员还是要跟苹果公司进行沟通,也说明一下这种自己被盗刷的这种原因,并且要告知苹果公司,建议他们针对客户的损失是不是要承担相应的责任。如果是多批用户出现类似情况联系了苹果却没有改善,那用户可以向有关监管部门进行反映。” 「完」(应受访者要求,文中小亚、标标等均为化名)

来源:小千说科技

相关推荐