昨天 V2EX 上網(wǎng)友分享的蘋(píng)果一篇帖子引起了很多的關(guān)注，這名網(wǎng)友的開(kāi)啟框藍(lán)家人 Apple ID 已經(jīng)開(kāi)啟兩步驗(yàn)證的情況下，仍然被釣魚(yú)且密碼被盜導(dǎo)致賬號(hào)被盜，兩步蘇州外圍預(yù)約上門(mén)（電話(huà)微信189-4469-7302）提供高端外圍上門(mén)真實(shí)靠譜快速安排不收定金見(jiàn)人滿(mǎn)意付款詐騙者利用受害者賬戶(hù)信息盜刷 1.6 萬(wàn)元。驗(yàn)證

盜刷方式是竟然p竟采用 Apple ID 家庭共享的方式進(jìn)行，也就是還被將受害者 Apple ID 加入家庭共享并開(kāi)啟付費(fèi)功能，然后利用其它 Apple ID 賬號(hào)在 App Store 里消費(fèi)，盜號(hào)釣魚(yú)登錄點(diǎn)網(wǎng)為此網(wǎng)友聯(lián)系蘋(píng)果退款結(jié)果還被拒絕了。然偽

在這起案例中有兩個(gè)讓人搞不清的密碼問(wèn)題，第一是蘋(píng)果蘇州外圍預(yù)約上門(mén)（電話(huà)微信189-4469-7302）提供高端外圍上門(mén)真實(shí)靠譜快速安排不收定金見(jiàn)人滿(mǎn)意付款詐騙者怎么獲得受害者 Apple ID 密碼的；第二是已經(jīng)開(kāi)啟兩步驗(yàn)證的情況下，詐騙者是開(kāi)啟框藍(lán)如何獲得驗(yàn)證碼的。

針對(duì)這兩個(gè)問(wèn)題 V2EX 網(wǎng)友進(jìn)行了討論，兩步最終結(jié)果是驗(yàn)證詐騙者利用蘋(píng)果驗(yàn)證機(jī)制的某種漏洞。

先說(shuō)第一個(gè)問(wèn)題，竟然p竟怎么騙密碼：

這個(gè)名為 “菜譜大全” 的還被 App 利用 WebView 偽造了一個(gè)彈窗，這個(gè)彈窗與 iPhone 日常的彈窗非常類(lèi)似，正常情況下我們?cè)?AppStore 購(gòu)買(mǎi)產(chǎn)品時(shí)，如果面容或指紋識(shí)別沒(méi)有通過(guò)，則會(huì)彈出輸入密碼的選項(xiàng)。

這個(gè) App 自己偽造了個(gè)彈窗，如果是非專(zhuān)業(yè)用戶(hù)，可能看到彈窗就以為是商店彈出的，于是習(xí)慣性的輸入賬號(hào)和密碼。

這也讓藍(lán)點(diǎn)網(wǎng)想起了盒馬先生，之前藍(lán)點(diǎn)網(wǎng)曾經(jīng)遇到過(guò)盒馬先生彈出評(píng)價(jià)窗口，這個(gè)窗口也是偽造的 App 內(nèi)評(píng)分窗口，如果選擇非五星好評(píng)，則提交時(shí)盒馬會(huì)彈出反饋的窗口，也就是不向 AppStore 提交評(píng)價(jià)；如果用戶(hù)點(diǎn)的是五星好評(píng)，則向 AppStore 提交評(píng)價(jià)。

所以偽造窗口我是知道的，但通過(guò)蘋(píng)果審核上架到 AppStore 里偽造登錄窗口釣魚(yú) Apple ID 密碼的我也是頭一回見(jiàn)。

上圖中可以看到該 App 的登錄窗口是 AppLeID 而非 Apple ID，這應(yīng)該是用來(lái)規(guī)避蘋(píng)果審核的？在原帖中有網(wǎng)友提到如果 App 里提到 Apple 則應(yīng)聲明與蘋(píng)果無(wú)關(guān)，所以詐騙者只能用這種字符來(lái)規(guī)避審核的同時(shí)迷惑用戶(hù)。

第二個(gè)問(wèn)題，有密碼不行，驗(yàn)證碼怎么偷的：

這個(gè)問(wèn)題是最難的了，偽造窗口騙密碼并非難事，但怎么騙驗(yàn)證碼呢？受害者自述沒(méi)有在任何地方輸入過(guò)六位數(shù)的驗(yàn)證碼，那詐騙者怎么拿到驗(yàn)證碼的呢？

目前討論的結(jié)果是詐騙者可能利用了蘋(píng)果的某種漏洞，首先是在 App 里利用 WebView 直接打開(kāi) iCloud 登錄界面，這時(shí)候蘋(píng)果會(huì)在 iPhone 上自動(dòng)彈出驗(yàn)證，如果人臉或指紋驗(yàn)證失敗，則需要輸入密碼，這樣也能登錄。

實(shí)際操作中就是詐騙者打開(kāi) iCloud 頁(yè)面發(fā)起登錄，然后利用 js 之類(lèi)的偽造數(shù)據(jù)，讓用戶(hù)輸入密碼后獲得 Cookie 等。

由于是本機(jī)操作的，所以蘋(píng)果可能沒(méi)有經(jīng)過(guò) 2FA 就直接允許登錄了，接著詐騙者利用獲取的 Cookie 或者 token 等進(jìn)行自動(dòng)化操作，在受害者 Apple ID 中添加受信任的手機(jī)號(hào)碼，一旦添加號(hào)碼，這意味著詐騙者這就可以完全控制這個(gè)賬號(hào)。

所以受害者自述沒(méi)有看到 2FA 界面，因?yàn)檫@可能就是沒(méi)有彈出驗(yàn)證碼，僅通過(guò)密碼就搞定了登錄。

添加號(hào)碼后接下來(lái)就可以為所欲為了，包括修改 Apple ID 密碼、遠(yuǎn)程抹掉 iPhone 數(shù)據(jù)、檢查該賬號(hào)下的所有數(shù)據(jù)，以及直接加入 Apple ID 家庭組利用綁定的賬號(hào)發(fā)起扣款。

期間詐騙者是沒(méi)有獲得受害者銀行卡號(hào)、密碼、短信驗(yàn)證碼這類(lèi)數(shù)據(jù)的，所以他們通過(guò) AppStore 內(nèi)購(gòu)來(lái)扣款，說(shuō)白了這也是洗錢(qián)。

至于洗錢(qián)方式，大概率是通過(guò)某些電商平臺(tái)低價(jià)銷(xiāo)售代充產(chǎn)品，一旦有用戶(hù)下單后，詐騙者就可以安排盜刷來(lái)為目標(biāo)賬戶(hù)充值代付，這樣就搞定了洗錢(qián)環(huán)節(jié)。

這種問(wèn)題怎么防范：

很難，因?yàn)檫@類(lèi)偽造的彈窗總能騙到非專(zhuān)業(yè)用戶(hù)。對(duì)于專(zhuān)業(yè)用戶(hù)，如果有條件的話(huà)可以上硬件密鑰，這可以提高安全性，但從上面的案例中可以看到本機(jī)鑒權(quán)沒(méi)有發(fā)起 2FA 驗(yàn)證，那硬件密鑰有用嗎？在 Apple ID 上用過(guò)硬件密鑰的用戶(hù)可以在 Safari 中打開(kāi) https://appleid.apple.com/ 登錄測(cè)試看看。

另一種降低損失的辦法就是無(wú)論是綁定的微信支付還是支付寶，都設(shè)置限額，設(shè)置限額后即便被盜，最多也只能盜刷設(shè)置限額以?xún)?nèi)的金額，不至于造成太大損失。

除了這些辦法，目前好像也沒(méi)什么太好的解決辦法了。