家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒

2023-07-23 21:46:37 +08:00
 airycanon

时间线

7 月 12 晚上发生的事情,

被盗经过

之前一直以为开了双重认证就高枕无忧,经过排查后,基本确定是被钓鱼了:

疑问

整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。

尝试退款

我在 Apple 400 客服尝试了多种方式,最终都失败了:

目前还能尝试的方式:

52888 次点击
所在节点    问与答
385 条回复
airycanon
2023-07-23 23:00:47 +08:00
@dearmymy 兄弟说得有道理,一开始这个密码弹窗,她也不记得,是我自己一点一点查到的。
airycanon
2023-07-23 23:01:53 +08:00
@swulling 看了下,这个 app 也没有读短信的功能。
ZRS
2023-07-23 23:04:18 +08:00
双重认证就是通过可信设备/渠道进行认证,你这设备用于在应用中登陆 apple id ,本身就是可信设备了,自然不需要其他设备或渠道进行认证。
swulling
2023-07-23 23:04:51 +08:00
@airycanon 那很可能是被诱导填了验证码。

受害者这种心理防御很正常。
ZRS
2023-07-23 23:05:53 +08:00
哦确实在攻击者登陆时的验证问题没得到合理解释,截图也应该是拿不到验证码弹窗的
ZRS
2023-07-23 23:06:35 +08:00
感觉还是被诱导进行了什么操作,比如共享屏幕操作实际是骗取验证短信等
wdlth
2023-07-23 23:08:51 +08:00
https://support.apple.com/zh-cn/guide/iphone/iphd709a3c46/ios
看官网的介绍有一种离线方式,在离线的受信任设备上获取验证码,会不会是预先用什么方式登录过 Mac 。
forgottencoast
2023-07-23 23:18:14 +08:00
AppLeID ,这是不是为了骗过审核?
AppJun
2023-07-23 23:25:37 +08:00
截屏应该是截不到系统弹窗的。不然这个漏洞太大了。

估计你输入正确的密码之后,有额外的诱导二次验证信息的登记入口。
mineralsalt
2023-07-23 23:26:33 +08:00
我手机上也有个 “菜谱大全” , 应该不是你这个吧, 之前学做菜下载的
Danswerme
2023-07-24 00:03:08 +08:00
这能过苹果审核?
delpo
2023-07-24 00:10:10 +08:00
App"L"eID
请输入您的 ID 密码用于登"陆"

这是为了能过审还是因为根本没下功夫设计?
terence4444
2023-07-24 00:43:57 +08:00
可能是通过 iMessage forward 短消息拿到的?
yinmin
2023-07-24 01:14:46 +08:00
@airycanon 微信支付有“百万保障”,你可以试试申请理赔
dingdangnao
2023-07-24 01:16:03 +08:00
而且 家庭成员第一次在 App Store 消费是需要家庭管理员短信验证码的啊
WuSiYu
2023-07-24 02:32:34 +08:00
这种应用能进入 apple store 明显是苹果审核有很大的过失,往大了可以说影响到“苹果生态封闭所以安全”这个认知
zdgan
2023-07-24 05:17:34 +08:00
我觉得苹果好恶心,我的账号也拿不回来,还每年扣我 apple music 的钱,无论怎么申诉审核都不行,还一直弹窗要我输入账号密码,10 几年果粉从此弃坑。我自己的账号,我可以提供手机验证码,邮箱验证码,这还要审核两周,每次审核还不通过,我真服了
laydown
2023-07-24 05:40:05 +08:00
你丈母娘是不是还另外做了一些别的动作,但忘记了呢。

双重认证是挺傻的,但如果自己不提供验证码给对方,或者点批准登录设备,对方也无法做什么事情的。
tin3w5
2023-07-24 06:58:19 +08:00
上了岁数的人和不打技术的人都有一个共同段习惯——无论什么弹窗都会图省事,随便点一下,不行再点另一个。所以不排除她忘记了。
另外,不知道这个 app 有没有上非国区的 app store ,如果没上,不排除是国内开发者和国内审核人员的 py 交易。几年前在某私企工作的时候和 iOS 开发的兄弟混的很熟,听说当时只上架国区和上架全区的审核标准好像就不一样。
job32
2023-07-24 08:14:26 +08:00
盗号者在自己的 iphone 登录你丈母娘的 apple ID ,需要输入丈母娘手机上 apple ID 的验证码。没有授权是没办法登录的,知道账号和密码也没用。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/959041

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX