新型Apple ID诈骗:开启双重认证仍被钓鱼
v2ex 有一个帖子《家人的 apple id 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒》,详细描述了一个新的诈骗过程:在 apple id 开通双重认证的情况下,被高仿的李鬼 app 诱骗出密码,并被添加信任号码、家庭共享,再通过家庭共享成员完成消费。但整个过程中,原设备并未出现新设备登录时需要的双重认证验证码,也就是说双重验证并未起作用。
在那个帖子中,具体的被骗步骤是这样的:
丈母娘曾经在某 app 购买虚拟商品,app store 绑定了微信免密支付。
7 月 11 号下午,丈母娘在 apple store 上下载了一个叫 “菜谱大全” 的 app ,它的登录方式是 apple id 授权,这一步如果没有开启 icloud+ 隐藏邮件地址的话,apple id 账号就会泄露,如图
接着,会出来一个跟 app store 长得非常像的密码输入框,大家如果经常安装 app ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 app store 登录流程的话,很容易中招,如图
有了 apple id 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。
登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证
到这一步,他已经掌握了受害者 apple id 的所有权限。
接下来,盗号者并不会直接用 apple id 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 app 中的虚拟商品
疑问
整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 apple id 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。
以上内容来自原帖。至于为何登录了新设备或网页而没有弹出二次验证,是此事的最大疑问。 根据博主 @bugos 技术组 的测试,受信设备中的应用拉起隐藏 webview 访问 appleid.apple.com 无需双重验证,这一重大漏洞使得用户扫个脸即可登录。该 app 又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。
@bugos 技术组 表示,当 iphone 上出现输入 apple id 密码的窗口时,按 home 键或上划手势尝试退出一下,能退出的都是在诈骗。
实现USB通信协议和标准串口的设计的注意事项
MAX3627/MAX3629 Multiple-outpu
Apple Watch Series7将通过光学传感器监测血糖
CSA International发布电动工具新标准
银行的运行效率怎样利用区块链来提高
新型Apple ID诈骗:开启双重认证仍被钓鱼
gpon是什么意思_gpon与epon的区别
想搞定人们常用的扩展需求就选创基Type-C集线器
焊接式镀金穿心电容规格书
邹竹:与业内人士共同探讨MES系统如何实现电池智能制造
美台风中应用RFID/EPC系统来识别疏散居民身份
Intel公布一款8核、Coffee Lake-S的Xeon E处理器,基础主频为3.00GHz
Diodes LED驱动器实现高功率因数 有效提升LED灯性能
三星已启动SmartThings Find,这是应用程序中的一项新服务
华为云 GaussDB,如何给世界一个更优选择?
如何选择温湿度传感器
台积电正在研究2024年的2nm iPhone处理器?
康佳特宣布多米尼克·雷辛(Dominik Ressing)为新上任CEO
全球半导体材料市场规模呈波动变化趋势,前端制造材料占比有所上升
2050年可再生能源发电装机占比超过80%,一次性能源消费下滑
在那个帖子中,具体的被骗步骤是这样的:
丈母娘曾经在某 app 购买虚拟商品,app store 绑定了微信免密支付。
7 月 11 号下午,丈母娘在 apple store 上下载了一个叫 “菜谱大全” 的 app ,它的登录方式是 apple id 授权,这一步如果没有开启 icloud+ 隐藏邮件地址的话,apple id 账号就会泄露,如图
接着,会出来一个跟 app store 长得非常像的密码输入框,大家如果经常安装 app ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 app store 登录流程的话,很容易中招,如图
有了 apple id 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。
登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证
到这一步,他已经掌握了受害者 apple id 的所有权限。
接下来,盗号者并不会直接用 apple id 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 app 中的虚拟商品
疑问
整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 apple id 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。
以上内容来自原帖。至于为何登录了新设备或网页而没有弹出二次验证,是此事的最大疑问。 根据博主 @bugos 技术组 的测试,受信设备中的应用拉起隐藏 webview 访问 appleid.apple.com 无需双重验证,这一重大漏洞使得用户扫个脸即可登录。该 app 又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。
@bugos 技术组 表示,当 iphone 上出现输入 apple id 密码的窗口时,按 home 键或上划手势尝试退出一下,能退出的都是在诈骗。
实现USB通信协议和标准串口的设计的注意事项
MAX3627/MAX3629 Multiple-outpu
Apple Watch Series7将通过光学传感器监测血糖
CSA International发布电动工具新标准
银行的运行效率怎样利用区块链来提高
新型Apple ID诈骗:开启双重认证仍被钓鱼
gpon是什么意思_gpon与epon的区别
想搞定人们常用的扩展需求就选创基Type-C集线器
焊接式镀金穿心电容规格书
邹竹:与业内人士共同探讨MES系统如何实现电池智能制造
美台风中应用RFID/EPC系统来识别疏散居民身份
Intel公布一款8核、Coffee Lake-S的Xeon E处理器,基础主频为3.00GHz
Diodes LED驱动器实现高功率因数 有效提升LED灯性能
三星已启动SmartThings Find,这是应用程序中的一项新服务
华为云 GaussDB,如何给世界一个更优选择?
如何选择温湿度传感器
台积电正在研究2024年的2nm iPhone处理器?
康佳特宣布多米尼克·雷辛(Dominik Ressing)为新上任CEO
全球半导体材料市场规模呈波动变化趋势,前端制造材料占比有所上升
2050年可再生能源发电装机占比超过80%,一次性能源消费下滑