新型 Apple ID 诈骗:开启双重认证仍被钓鱼


V2EX 有一个帖子《家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒》,详细描述了一个新的诈骗过程:在 Apple ID 开通双重认证的情况下,被高仿的李鬼 App 诱骗出密码,并被添加信任号码、家庭共享,再通过家庭共享成员完成消费。但整个过程中,原设备并未出现新设备登录时需要的双重认证验证码,也就是说双重验证并未起作用。

在那个帖子中,具体的被骗步骤是这样的:

  • 丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。

  • 7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露,如图

  • 接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招,如图

  • 有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。

  • 登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证

  • 到这一步,他已经掌握了受害者 Apple ID 的所有权限。

  • 接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品

疑问

整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。


以上内容来自原帖。至于为何登录了新设备或网页而没有弹出二次验证,是此事的最大疑问。

根据博主 @BugOS 技术组 的测试受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,这一重大漏洞使得用户扫个脸即可登录。该 App 又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。

@BugOS 技术组 表示,当 iPhone 上出现输入 Apple ID 密码的窗口时,按 Home 键或上划手势尝试退出一下,能退出的都是在诈骗。


相關推薦

2023-10-09

虚假的AV扫描警报 黑客正在利用零点字体在电子邮件中的新型技巧,使恶意邮件看起来像是Microsoft Outlook中的安全工具发出的扫描警报。这是首次记录到ZeroFont网络钓鱼技术以这种方式的使用。【针对 Microsoft 365 的钓鱼即服务平

2023-08-20

入请求都应基于一套严格的公开标准,仅限于网络钓鱼/诈骗网站,接受专家的独立审查,并包含司法上诉机制,以防提供商拒绝纳入请求"。 法国政府在暑假前不久向议会提交了该法案,目前该法案甚至已进入加速程序,将于

2023-05-06

图标的网站其内容是值得信任的(但实际上,很多钓鱼、诈骗网站也都在使用 HTTPS,这个锁图标会产生混淆和误解)。 因此,Google 近日正式宣布将使用 “tune” 图标取代现有的 HTTPS 锁图标,新图标将在 Chrome 117 中推出,该版

2023-01-20

因为它经常输出一些车轱辘话和一些有偏见的文本,有些诈骗者一直在使用它来制作网络钓鱼电子邮件甚至恶意代码。  Sparrow 的另一个关键特性是“事实准确性”。正如前文所述, 这种对话模型输出的对话很多都是可以正

2024-10-01

、转送测试资格、提前体验版本、优先排队、VIP 礼包等诈骗信息,不要在非官方渠道下载来路不明的客户端,保护个人信息安全,避免上当受骗; 删档测试期间,体验服活动获取的奖励点券无法领取和使用; 【初始段位】

2024-08-18

ub 仓库中的全部源代码。 Aria 开发者写道:“因 Aria 被诈骗分子使用,导致我被跨省,因此本项目源码永久删除。” via https://github.com/AriaLyy/Aria Aria 是一个高性能、轻量级、易于使用的文件下载框架,主要应用于 An

2023-08-28

请求; 请求编辑发送可直接查看响应体,发送请求无需开启代理; 详情增加快速请求重写, 复制cURL格式可直接导入Postman; 增加请求收藏功能; 主题增加Material3切换; 请求删除&大响应体直接转发; 安卓应用白名单

2022-10-29

机”(物理机名称)列表项 云主机高级配置信息详情页开启/关闭Virtio增强风险提醒 一键巡检优化:巡检项“云主机CPU平均使用率检查”及“云主机系统盘已用容量检查”仅展示异常巡检结果(失败/故障/警告) 云主机/镜

2022-11-05

opbox 最近公开了他们遭遇的严重安全事件,黑客通过网络钓鱼的方式获得其 GitHub 账户的访问权,导致 130 个私有的代码仓库被盗。 据 Dropbox 称,这些仓库包括为了公司内部使用而略加修改的第三方库的副本、内部原型以及他们

2023-03-12

的主要安全问题可以分为 9 大类: 通过高信誉网站的钓鱼攻击 通过文件共享系统传播恶意软件 在企业环境中,使用个人浏览器配置导致泄露数据 使用版本过时的浏览器 薄弱的账号密码 易受攻击的非托管设备 高风

2024-08-08

同的固件更新。尽管 Mac 仍受 macOS 更新支持,但后续更新仍被放弃(在某些情况下会发生这种情况),但 T2 固件更新似乎只有在型号不再受 macOS 更新支持时才会停止。 由于 Apple 完全拥有 Apple Silicon Mac 的硬件和操作系统,因此

2023-11-30

JetBrains 最新发布的 2023 年度开发者生态系统调查报告指出,在面向 Java 开发者的调查中,更多的开发人员选择在生产中使用 Java 17,而不是 Java 11。Docker 逐渐成为打包 Web 应用程序的首选,且 Spring 和 Spring Boot 的使用率遥遥

2023-07-11

、豌豆荚和努比亚等 9 家应用商店,以及抖音和快手 2 家新型应用分发平台,基本完成 App 签名和验签工作,并对开发者和检测者的签名进行了显著标识,帮助用户提高了对仿冒、不良等风险APP的识别能力。 据介绍,《“十四

2022-09-02

其他 集成nvidia-vaapi-driver库,支持在firefox浏览器下开启nvidia vaapi硬解码功能 生物认证支持了更多(汇顶科技)指纹设备 问题修复 DDE 修复部分机型UI界面显示异常问题 音乐 修复部分机型添加歌曲目录