[警醒] 支付宝的 App Store 免密支付盗刷

1 天前
 leega0

背景:一大早还没睡醒,家里人突然把我叫醒说支付宝被盗刷了,我一看,支付宝提示有十多条 App Store 的免密交易记录,有成功有失败的,合计大概近 2000 的金额。

措施:首先马上关闭了支付宝的免密支付,然后修改了苹果账户的密码。

原因:上周收到了钓鱼短信,她居然老老实实输入了账户密码(我说安全教育了那么多,她反驳说不是银行卡啥的就没注意)目前短信已经找不到,不知道为何消失了,但是还有网页访问记录(图 1 ),然后这个操作可能就是通过用户两步验证添加了授权设备,凌晨增加了家庭共享账户(图 2 )进行消费充值。

疑惑: 1 、用这么多年苹果都没搞懂家庭账户消费,骗子轻松拿捏,而且这中间不需要主账号进行任何支付前的二次确认。 2 、支付宝风控能力是有,为什么不拦截全部,我前几天给新家充电费提示交易中断且需要我本人上传材料才能解除限制,苹果免密大半夜连续消费却成功一部分拦截一部分。

补救: 1 、支付宝交易记录中维权账户盗刷,提示免密交易不属于支付宝账户责任,引导我联系苹果客服。 2 、打客服电话反馈了,说 48 小时内给回复。(概率似乎不大,退款成功多,拒绝的也多) 3 、准备打 12315

警醒:关闭各类免密支付,多给家人做安全教育,我这就是个反面例子,短信的链接不管什么都不要乱点,一般人没有区分是不是官方的短信或者什么。

图 1 图 2

4033 次点击
所在节点    Apple
54 条回复
LiuJiang
1 天前
好的,感谢分享
Totoria
1 天前
米!
tangyujing99
1 天前
1 、骗子钓鱼拿到 Apple ID 密码并成功在 app store 登录。
2 、恰巧该 Apple ID 绑定了有效支付方式(支付宝)。
3 、骗子 App Store 内购盗刷成功。

------
我本人是美区 id 有余额,内购都是只需要面容识别或者输入密码就完成付费的。不知道支付宝/微信/信用卡这些情况。
tangyujing99
1 天前
@tangyujing99 我想表达的是完成绑定有效支付方式之后的付费似乎只需要验证 Appleid 的密码即可。这个问题可能在苹果这边哦。如有错请网友指出。
tangyujing99
1 天前
@tangyujing99 #3
更正:
1 、骗子钓鱼拿到 Apple ID 密码。
2 、骗子把自己帐号加入 op 家人的家庭组。
2 、恰巧该 op 家人 Apple ID 绑定了有效支付方式(支付宝),且开通共享支付方式。
3 、骗子 App Store 内购盗刷成功。
liaixiao
1 天前
我都是消费完毕就解除支付方式来着,苹果的安全性做的很烂。
ThomasKim
1 天前
所以说,只要自己的 Apple ID 的账号和密码不泄露是不是就没事儿了?
Granthese
1 天前
槽点太多了,又是共享支付方式,又是开免密支付,又是自己主动交出账号密码,双重验证都拦不住主动送钱😅
leega0
1 天前
@tangyujing99 共享支付默认没有开启,应该是骗子拿到账户后操作的,
leega0
1 天前
@Granthese 没有开启共享支付,默认关闭,我看了下开启共享支付在手机端开启至少需要两步,家里人肯定不会操作这个
twinsdestiny
1 天前
骗子沉迷米哈游游戏,这辈子有了
leega0
1 天前
楼上有人说主动开启共享支付的情况我认为应该不存在,肯定是输入账户后骗子那边操作的,手机端要操作这两步,对家里人来说难度太大,步骤太多,首先要进入 iCloud 管理,然后是下图两步,我怕她都看不明白,怎么会去主动开。

rshun
1 天前
客观的说,Apple 至少是有部分责任的。(不过你的家人把账户密码交出去,这个。。。)

主账户添加共享账户,如果由主账户消费的话,至少发个验证码到主账户的手机来确认一下。

顺便说一句,如果多次充电费的话,是有洗钱的嫌疑的,所以你才会被要求上传材料,这和支付宝没什么关系
yinmin
23 小时 58 分钟前
apple 可以退款的: https://support.apple.com/zh-cn/118223
但是通常一个帐户退 1 次,之后几笔大概率会拒绝,建议申请第一笔退款时选最贵的这笔
orangy
23 小时 55 分钟前
盗刷真的是很可恶,我也被盗刷过,刚知道被盗刷的时候真的是很担心和害怕。幸运的是你是绑定的信用卡,就真的还能救。
立马联系银行,银行那边对于这种交易会很好地处理。
首先,确认不是家里小孩或者亲戚朋友的误充(有些家庭成员可能不知道是主账户付款)。
然后,报警(银行可能会要求报警回执,以佐证不是你本人消费,因为一般人不敢报假警)。
最后,向银行提供非本人消费的相关说明(只需说明而非证据,如果有证据当然更好)。
接下来耐心等待银行的处理结果就好。
银行一般会先冻结你的信用卡,一般一个月左右的调查之后,银行会给你撤销消费。至于与支付宝和苹果的拉扯,银行会处理(银行一般会拒绝向他们付款)。

PS:银行调查期间,即使到了还款日,这几笔费用你也不用还款。

PPS:建议大家自动扣款都绑定信用卡,储蓄卡一旦被盗刷,银行、支付宝和商家都不一定会 100%处理。而信用卡就不一样,实际上消费的时候银行并没有向商家付款,如果消费者提出异议,银行有权拒绝向商家付款。
yinmin
23 小时 50 分钟前
这个贴很详细的记录了被骗过程 https://www.v2ex.com/t/959041

我看过这个 app 运行,对于某些用户会要求登录 app ,但是实际操作是启用内置浏览器去登录 apple 网站,然后 apple 网站弹出用户认证,这步极具迷惑性,即使是老手也有可能中招,登录后黑客就拿到了你的 appleid 凭证,可以操作你的 apple 帐户了。

支付宝里,设置 -> 支付设置 -> 免密支付/自动扣款 -> App Store & Apple Music 可以设置每月限额,一般设置小几百元,能挡一下。
leega0
23 小时 42 分钟前
@yinmin #14 这个地址早上第一时间就试了,似乎是看不到共享账户的消费
tangyujing99
23 小时 40 分钟前
骗子拿到帐号密码再打开共享支付就不难了。
甚至严重一些把你手上的设备设为丢失状态再对家人勒索也不是没可能。
主责还是家人的反诈意识不够。

延伸讨论:
我也认为苹果的家庭组的共享支付方式其实很不精细,能区分共享儿童帐号,成年人帐号就很好。而且现有的描述也是晦涩难懂。
leega0
23 小时 39 分钟前
@orangy 非常感谢,中午的时候已经打了电话冻结信用卡,目前也打算报警
punish19
23 小时 30 分钟前
这种报警没用,警察内部会归类为“浪费警力”,所以不用春风吹都又双叒叕生

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1083796

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX