请教大佬有关 Apple ID 的双重认证的逻辑

2023-07-25 13:24:38 +08:00
 bootloaders

昨天本站一个主题讨论了楼主亲戚被钓鱼 app 诈骗,绕过了苹果的双重认证被骗走 1.6 万元的事件,原贴如下: https://www.v2ex.com/t/959041

梳理整个事件,按照我个人的理解,骗子是这样得手的:

  1. 上传钓鱼 app 到 App store ,通过审核(此时没有上传恶意代码)
  2. 通过热更新将钓鱼代码注入钓鱼 app (食谱软件)
  3. 钓鱼 app 伪造了 webview 的窗口打开了 Apple ID 的登录网页
  4. 受害人被钓鱼 app 诱骗,输入了 Apple ID 和密码(骗子获取到了用户的 ID 和密码)
  5. 骗子通过钓鱼 app 在受害人手机上将自己的电话号码加入了可信任的电话号码中
  6. 骗子将自己的 Apple ID 加入受害人的家庭组
  7. 骗子登录已加入受害人家庭组的 Apple ID ,在 app store 消费了 1.6 万元

对于步骤 1-5 ,7 没有疑惑之处。让我困惑的是,骗子如何将自己的 Apple ID 加入受害者的家庭组?

加入家庭组必须要在用户设备上操作。骗子必须在设备上登录受害人的 Apple ID ,才可将自己添加进家庭组。 骗子登录受害者 Apple ID 的操作,在开启双重认证的受害人设备上必将弹出提示,不论是否将自己的号码加入信任的电话号码。

骗子如何做到在受害人完全没有提示的情况下登录了她的 Apple ID ,并将自己加入家庭组?

1283 次点击
所在节点    Apple
3 条回复
bzcai
2023-07-25 14:16:03 +08:00
我主要没明白第五步是怎么做到的
bootloaders
2023-07-25 14:50:00 +08:00
@bzcai
钓鱼 app 利用 app 内的 webview 打开 apple id 的网页,诱骗受害人本机登录自己 Appleid

钓鱼 app 含恶意脚本,受害人登录后添加骗子的电话号码
tangyujing99
2023-07-25 17:57:47 +08:00
个人总结几点:
1 、该骗子(组织)涉案金额应该巨大。恰巧贴主懂行才写出来让大家知道,不被人知道的不知道还有多少。
2 、受害者 apple id 刚好绑定了银行卡导致被盗刷 1.6w 。绑定各种支付最好还是小额专卡专用。
3 、即便骗子没盗刷成功,还能勒索,以及远程锁定机器,能恶心一阵机主。
4 、app store 的审核机制要背大锅。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/959523

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX