苹果开启两步验证竟然还被盗号？钓鱼App竟然伪造iOS密码登录框 – 蓝点网

昨天 V2EX 上网友分享的苹果一篇帖子引起了很多的关注，这名网友的开启框蓝家人 Apple ID 已经开启两步验证的情况下，仍然被钓鱼且密码被盗导致账号被盗，两步诈骗者利用受害者账户信息盗刷 1.6 万元。验证

盗刷方式是竟然p竟采用 Apple ID 家庭共享的方式进行，也就是还被将受害者 Apple ID 加入家庭共享并开启付费功能，然后利用其它 Apple ID 账号在 App Store 里消费，盗号钓鱼登录点网为此网友联系苹果退款结果还被拒绝了。然伪

在这起案例中有两个让人搞不清的密码问题，第一是苹果诈骗者怎么获得受害者 Apple ID 密码的；第二是已经开启两步验证的情况下，诈骗者是开启框蓝如何获得验证码的。

针对这两个问题 V2EX 网友进行了讨论，两步最终结果是验证诈骗者利用苹果验证机制的某种漏洞。

先说第一个问题，竟然p竟怎么骗密码：

这个名为 “菜谱大全” 的还被 App 利用 WebView 伪造了一个弹窗，这个弹窗与 iPhone 日常的弹窗非常类似，正常情况下我们在 AppStore 购买产品时，如果面容或指纹识别没有通过，则会弹出输入密码的选项。

这个 App 自己伪造了个弹窗，如果是非专业用户，可能看到弹窗就以为是商店弹出的，于是习惯性的输入账号和密码。

这也让蓝点网想起了盒马先生，之前蓝点网曾经遇到过盒马先生弹出评价窗口，这个窗口也是伪造的 App 内评分窗口，如果选择非五星好评，则提交时盒马会弹出反馈的窗口，也就是不向 AppStore 提交评价；如果用户点的是五星好评，则向 AppStore 提交评价。

所以伪造窗口我是知道的，但通过苹果审核上架到 AppStore 里伪造登录窗口钓鱼 Apple ID 密码的我也是头一回见。

上图中可以看到该 App 的登录窗口是 AppLeID 而非 Apple ID，这应该是用来规避苹果审核的？在原帖中有网友提到如果 App 里提到 Apple 则应声明与苹果无关，所以诈骗者只能用这种字符来规避审核的同时迷惑用户。

第二个问题，有密码不行，验证码怎么偷的：

这个问题是最难的了，伪造窗口骗密码并非难事，但怎么骗验证码呢？受害者自述没有在任何地方输入过六位数的验证码，那诈骗者怎么拿到验证码的呢？

目前讨论的结果是诈骗者可能利用了苹果的某种漏洞，首先是在 App 里利用 WebView 直接打开 iCloud 登录界面，这时候苹果会在 iPhone 上自动弹出验证，如果人脸或指纹验证失败，则需要输入密码，这样也能登录。

实际操作中就是诈骗者打开 iCloud 页面发起登录，然后利用 js 之类的伪造数据，让用户输入密码后获得 Cookie 等。

由于是本机操作的，所以苹果可能没有经过 2FA 就直接允许登录了，接着诈骗者利用获取的 Cookie 或者 token 等进行自动化操作，在受害者 Apple ID 中添加受信任的手机号码，一旦添加号码，这意味着诈骗者这就可以完全控制这个账号。

所以受害者自述没有看到 2FA 界面，因为这可能就是没有弹出验证码，仅通过密码就搞定了登录。

添加号码后接下来就可以为所欲为了，包括修改 Apple ID 密码、远程抹掉 iPhone 数据、检查该账号下的所有数据，以及直接加入 Apple ID 家庭组利用绑定的账号发起扣款。

期间诈骗者是没有获得受害者银行卡号、密码、短信验证码这类数据的，所以他们通过 AppStore 内购来扣款，说白了这也是洗钱。

至于洗钱方式，大概率是通过某些电商平台低价销售代充产品，一旦有用户下单后，诈骗者就可以安排盗刷来为目标账户充值代付，这样就搞定了洗钱环节。

这种问题怎么防范：

很难，因为这类伪造的弹窗总能骗到非专业用户。对于专业用户，如果有条件的话可以上硬件密钥，这可以提高安全性，但从上面的案例中可以看到本机鉴权没有发起 2FA 验证，那硬件密钥有用吗？在 Apple ID 上用过硬件密钥的用户可以在 Safari 中打开 https://appleid.apple.com/ 登录测试看看。

另一种降低损失的办法就是无论是绑定的微信支付还是支付宝，都设置限额，设置限额后即便被盗，最多也只能盗刷设置限额以内的金额，不至于造成太大损失。

除了这些办法，目前好像也没什么太好的解决办法了。

最新评论