原始链接在: 新型 Apple ID 诈骗:有双重认证仍被钓鱼。附一个可能的预防小技巧 - 小众软件
昨天 V2EX 有一个帖子《家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒》,详细描述了一个新的诈骗过程:在 Apple ID 开通双重认证的情况下,被高仿的李鬼 App 诱骗出密码,并被添加信任号码、家庭共享,再通过家庭共享成员完成消费。但整个过程中,原设备并未出现新设备登录时需要的双重认证验证码,也就是说双重验证并未起作用。@Appinn
在那个帖子中,具体的被骗步骤是这样的:
- 丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。
- 7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露,如图
- 接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招,如图
- 有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。
- 登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证
- 到这一步,他已经掌握了受害者 Apple ID 的所有权限。
- 接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品
疑问
整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。
以上内容来自原帖。
至于为何登录了新设备或网页而没有弹出二次验证,是此事的最大疑问。
这里要提一下,可能的解决方案,是使用了无密码技术的「硬件安全密钥」,会更加安全一点点吧(怕怕的,现在骗子太高级了。
一个小技巧
著名开发者 @waylybaye 提到了一个小技巧:
看到 v2ex 这个被骗的热贴,跟大家分享下我一直在用的小技巧分辨是否在被钓鱼:
我每次看到让输入 Apple ID 密码的弹窗都会用 Home手势/键 尝试关一下,如果关不了说明是 iOS 系统弹的,可以输入密码。如果能关掉,那肯定是 App 伪装的弹窗要骗你密码。
愿世界没有诈骗。
原文:https://www.appinn.com/apple-id-2fa-login-tips/
