近日，杭州的朱女士遭遇惊魂一刻，iPhone手机就在自己手上，什么也没做，却在短短3分钟内收到十多条微信消费通知，显示她在苹果的App Store购买了将近5000元的游戏装备。

朱女士是众多Apple ID被盗受害者中的一例，近期全国至少已发生上千起类似事件，都是由于Apple ID被盗导致绑定的支付工具出现资金损失，少则几元，多则上万。

3分钟被盗刷近5000元

国庆长假最后一天，朱女士正在午休，忽然听到自己的iPhone不停地收到微信提示，拿起一看，是微信消费通知，显示她用微信支付方式在App Store购买了一款游戏装备。

朱女士不玩手机游戏，也没有下载过这个App，当时就头大了。赶紧打开App Store，发现已经有十来条购买记录，还有几笔Apple ID充值。3分钟后，微信消费提示不再发来，她清点消费记录，一共十多笔，总金额4948元，最少一笔5元，最大一笔1000元。

朱女士意识到自己的Apple ID被盗了，马上联系苹果客服，但客服告诉她，被盗刷的是微信支付，应该找微信解决。找到微信客服，结果又告诉她盗刷发生在App Store，应该找苹果。

心急如焚的朱女士一边报警，一边继续和苹果公司沟通，苹果客服总算答应帮她处理，关闭了她的Apple ID，将她的情况提交系统审核，三天之内答复处理结果。

朱女士又到网上求助，发现很多人有类似的遭遇，而且大多发生在近期，几个上千人的微信群里，都是朱女士这样的受害者：有人盗用Apple ID，在App Store通过用户绑定的支付宝、微信、银行卡等支付工具，利用苹果免密支付功能，大量购买游戏装备，少的损失几百元，多的有上万元，而且很多发生在半夜里，到第二天才发现。更离奇的是，这些用户的Apple ID还被人开通了双重认证。

由于大量用户出现类似情况，10日，支付宝在新浪微博发布公告，建议用户调低苹果支付的免密支付额度，以最大限度保护资金安全。

黑客开通双重认证疯狂盗刷

iPhone明明在自己手上，Apple ID怎么会被别人登录，还买了那么多游戏装备呢？朱女士想不明白，苹果客服的解释她也听不大懂。

腾讯安全专家李铁军说，分析最近Apple ID被盗的这些用户发现，他们有一个共同点，就是账号被盗之前，都没有开通Apple ID的双重认证功能。

双重认证是苹果最新的账号保护方式，开启此项功能后，Apple ID在新设备上登录时，除了要输入Apple ID原有密码，还要输入在受信的其他苹果设备上接收到的6位数字验证码。

没有开启双重认证的Apple ID，因为缺少跨设备验证码保护，一旦账户被盗，他人就可以进入这个Apple ID，进而更改里面的资料和设置，比如变更受信手机号码、添加受信设备、更改绑定的支付账户等。

李铁军说，就朱女士个案来看，很难判断她的Apple ID是如何泄露的，有可能是自己保管不善，也可能是黑客通过撞库、洗号等技术手段获取。从近期该类事件大规模爆发这一点来看，后者的可能性更大一些。

那么黑客是怎么实现盗刷的呢？

瑞星安全专家唐威解释，App Store要使用Apple ID购买，很多人的Apple ID绑定了支付宝、微信、信用卡或借记卡等支付方式，并且支付方式会跟随Apple ID到其他设备。最关键的一点是，在App Store里，苹果默认所有支付方式均为免密支付，也就是用户在购买App或游戏装备的时候，无需输入支付平台的密码。苹果没有想到的是，这个支付方式在便利用户的同时，也给不法分子大开方便之门，朱女士的微信支付被盗刷，就是这样发生的。

不过，黑客只要攻破用户的Apple ID，就可以盗刷，为什么还要多此一举帮用户开通双重认证呢？

唐威做了个试验，用一个没有打开双重认证的Apple ID购买游戏装备，发现免密支付无效，要先验证账户才行，且验证码是发送到用户手机上的。而打开双重认证之后，就不再需要这一步骤，直接可以支付。

也就是说，双重认证和免密支付帮助黑客在极短的时间内迅速完成连续盗刷，等到用户发现异常，损失已经造成。

李铁军分析，黑客之所以选择购买游戏装备，是因为此类虚拟商品很容易转手变现。在此之前，盗刷游戏装备早已形成黑色产业链。

推荐阅读

杭州60条城市道路增亮工程全面竣工

小夫妻夜爬虎跑马儿山 小路惊现剧毒五步蛇！

整张脸都毁了！杭州这些人最近都不敢出门，就因为……

杭州雄心 打造全国数字经济第一城

机场三期工程最快下周动工 2021年底基本建成

浙大博士侯京京疑似跳江失联，水上搜救已持续一天多

• 1
• 2
• 下一页
• 全文阅读