家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒
airycanon · 2023-07-23 21:46:37 +08:00 · 52750 次点击这是一个创建于 486 天前的主题,其中的信息可能已经有所发展或是发生改变。
时间线
7 月 12 晚上发生的事情,
- 23:33 ,丈母娘的手机突然被抹掉了资料,变成出厂设置的状态。
- 23:35 ,她拿手机找我给她看看,我以为是苹果系统问题,开始给她重新设置。
- 23:36 ,在设置的过程中,手机陆续收到了短信通知,我发现其中有银行、支付等字样。
- 23:37 ,开始意识到事情不太对,赶紧联系银行和微信支付冻结。
- 23:40 ,等到冻结完毕,已经产生了 20 多笔订单,共计 1.6w 。
- 23:50 ,报警之后,到社区派出所立案。
- 01:10 ,立案过程中,我在 Apple Store 的退款渠道提交了退款。
被盗经过
之前一直以为开了双重认证就高枕无忧,经过排查后,基本确定是被钓鱼了:
-
丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。
-
7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露,如图
-
接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招,如图
-
有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。
-
登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证,如图
-
到这一步,他已经掌握了受害者 Apple ID 的所有权限。
-
接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品,如图
疑问
整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。
尝试退款
我在 Apple 400 客服尝试了多种方式,最终都失败了:
- 在 reportaproblem.apple.com 页面申请退款,申请后联系客服告知被拒绝。
- 找负责 App Store 订单的客服,要求升级高级顾问,告知这是最终结果,升级也没有意义,被拒绝。
- 找负责 Apple ID 的客服,曲线救国,要求查询 Apple ID 被盗的问题,被告知查不到记录。
- 由负责 Apple ID 的高级顾问转到负责 App Store 订单的高级顾问,和该顾问扯皮了 2 小时,被拒绝。
目前还能尝试的方式:
- 打 12315 反馈
- 在工信部违法和不良信息举报中心投诉
- 起诉苹果
第 1 条附言 · 2023-07-23 22:34:11 +08:00
补充一下:
抹除设备是为了防止盗号者在支付的时候,受害者微信出现支付通知。
评论区有大佬提到,如果这个 APP 有截屏,可以截到双重认证的弹窗并上传,并不需要 Apple ID 所有者主动提供验证码。
抹除设备是为了防止盗号者在支付的时候,受害者微信出现支付通知。
评论区有大佬提到,如果这个 APP 有截屏,可以截到双重认证的弹窗并上传,并不需要 Apple ID 所有者主动提供验证码。
第 2 条附言 · 2023-07-23 23:05:29 +08:00
这个 App 的权限只有两个:Siri 与搜索,无线数据
第 3 条附言 · 2023-07-24 11:05:02 +08:00
抓包看了下,app 会访问这个 app.yime888.com ,有没有大佬有兴趣爆破一下。
第 4 条附言 · 2023-07-24 13:27:35 +08:00
89 楼的大佬,给了一个绕过双重认证的思路,感觉是比较靠谱的。
第 5 条附言 · 2023-07-24 15:14:46 +08:00
感谢各位大佬,目前差不多搞清楚对方是如何绕过双重认证的:
对方在 App 内置了一个 Webview ,然后访问 appleid.apple.com/sign-in ,这一步系统会出现 Apple ID 的弹窗,如果人脸识别通过了或者输入了正确的密码,这个页面就登录了(可以理解为在内置的 safafi 打开了 Apple ID 的登录页面)。
接下来会出现密码弹窗,受害者输入密码之后,这个 Webview 可以注入一些 js 获取到 Cookie ,然后访问 appleid.apple.com/account/manage ,通过一些自动接收验证码的机制,配合 Cookie 和密码,就可以在受害者 Apple ID 的信任号码中加入他自己的号码,用来接收双重认证的短信。
对方在 App 内置了一个 Webview ,然后访问 appleid.apple.com/sign-in ,这一步系统会出现 Apple ID 的弹窗,如果人脸识别通过了或者输入了正确的密码,这个页面就登录了(可以理解为在内置的 safafi 打开了 Apple ID 的登录页面)。
接下来会出现密码弹窗,受害者输入密码之后,这个 Webview 可以注入一些 js 获取到 Cookie ,然后访问 appleid.apple.com/account/manage ,通过一些自动接收验证码的机制,配合 Cookie 和密码,就可以在受害者 Apple ID 的信任号码中加入他自己的号码,用来接收双重认证的短信。
第 6 条附言 · 2023-07-25 16:35:06 +08:00
最新情况:
昨天通过工信部提交投诉之后,一个苹果行政关系部的人联系我,说是会帮我处理退款的事,刚刚告知了我处理结果,还是拒绝了,目前只剩下起诉这一条路了。
昨天通过工信部提交投诉之后,一个苹果行政关系部的人联系我,说是会帮我处理退款的事,刚刚告知了我处理结果,还是拒绝了,目前只剩下起诉这一条路了。
第 7 条附言 · 2023-07-27 18:50:28 +08:00
最近情况:苹果刚刚把我家人的所有被盗订单都退款了,但是还没有跟我联系,感谢大家的支持。
 |
101
dididi9527 2023-07-24 13:46:22 +08:00
@GHvyuR7N #87 确实很困惑,不知道为什么不放 app 的链接
|
 |
102
Uyloal 2023-07-24 13:47:58 +08:00
@qinxiaozhi 也许开发者已经看到这篇帖子了 刚刚下载之后就开始闪退
|
 |
103
airycanon OP @dididi9527 我在 98 楼回复过了。
|
 |
104
bojackhorseman 2023-07-24 13:48:55 +08:00
😨
|
|
106
dididi9527 2023-07-24 13:54:19 +08:00
@qinxiaozhi #95 可能开发者也注意到这个帖子了,于是关了后台
|
 |
107
1423 2023-07-24 13:54:31 +08:00
 APP 审核应该不允许这样的文本提示吧 难道是动态生成的? |
 |
109
hellomynameis 2023-07-24 13:57:07 +08:00 via Android
@Archeb 这么高级的钓鱼手段啊,哈人
这种软件如果能上架商店,那是苹果的锅了 |
|
110
dididi9527 2023-07-24 14:01:49 +08:00
@airycanon #103 理解,这看起来已经算是苹果的重大漏洞了,尽量收集好证据,看看能不能起诉苹果
|
 |
112
texsd123 2023-07-24 14:11:03 +08:00 via Android
自己下载试了下,发现软件没有登录窗口了,点一下就是“校验失败,请下载最新版本”,但是已经最新了,而且什么都加载不出来
|
 |
113
Jiajin 2023-07-24 14:15:55 +08:00
@airycanon 它代码里执行了一段 js ,然后自动填充了手机号,然后自动点了继续,再自动输入之前骗到的密码,这一系列步骤,可能你是看不到的,它用个遮罩层挡住就行了。
|
 |
114
daiisdai 2023-07-24 14:16:17 +08:00
iOS 那么安全
|
 |
115
Archeb 2023-07-24 14:16:29 +08:00 via iPhone
@airycanon 这是添加的受信手机号,从你提供的图片可以看出是一个+1 的号码,这就很简单了。
北美 VOIP 提供商非常非常多,也可以使用 API 接入。在做这个操作的时候,他只需要从号池中随机抽取一个号码,然后填入这里并获取验证码,等后端 API 返回验证码然后填进去就完成整个操作了,全程自动化。 |
 |
116
alihbaba 2023-07-24 14:20:39 +08:00  3
|
|
117
alihbaba 2023-07-24 14:20:56 +08:00 29
[img]
 [/img] |
|
118
alihbaba 2023-07-24 14:22:45 +08:00
这种也是 还有交友的
[img]  [/img] |
|
120
alihbaba 2023-07-24 14:24:36 +08:00
下载链接只有苹果的估计只是盗取 Apple ID 暂未发现提交安卓入口
|
|
123
alihbaba 2023-07-24 14:33:19 +08:00
@airycanon 他这个后台并没有查询 ID 的功能 只显示了 cookie 和密码的 有可能直接利用 cookie 替换进行操作或者就是还有一个总后台
|
 |
124
zhaozs1 2023-07-24 14:35:56 +08:00 1
域名 yime888.com
注册商 Xin Net Technology Corporation 参照页 - 域名持有人/机构名称 - 域名持有人/机构邮箱 - 创建时间 2022-04-09 更新时间 2023-01-03 过期时间 2024-04-09 域名服务器 whois.verisign-grs.com 域名服务器 whois.paycenter.com.cn DNS 服务器 ns11.xincache.com - 129.211.176.209 DNS 服务器 ns12.xincache.com - 36.155.149.176 域名状态 默认的正常状态 https://icann.org/epp |
 |
126
lqcc 2023-07-24 14:36:59 +08:00
真是防不胜防。
|
|
127
zhaozs1 2023-07-24 14:37:19 +08:00
IP: 103.229.183.139
位置: 香港, 東區, 柴灣 经纬度: 22.2661, 114.247 时区: Asia/Hong_Kong 运营商: MOACK.Co.LTD, Icidc Limited ASN: AS136800 MOACK.Co.LTD |
 |
128
nirvanahh 2023-07-24 14:37:34 +08:00
插眼,蹲个后续情况
|
|
130
alihbaba 2023-07-24 14:39:50 +08:00
他们这个是从去年八月份开始的
|
 |
133
JusticeLanding 2023-07-24 14:42:20 +08:00
蹲
|
 |
136
barbery 2023-07-24 14:43:17 +08:00
这个就很离谱了,严重关注
|
|
137
Jiajin 2023-07-24 14:45:58 +08:00
@airycanon 他这个骗局全程没有收集 appleid 的,全程只钓鱼了密码,appleid 都是后面添加受信任的手机号之后他那边才看到的。
|
|
138
airycanon OP @Jiajin 明白了,这也就想通了,为啥我家人的 Apple ID 邮箱最先收到的邮件是被加入了一个信任号码。
|
 |
139
Vistaa 2023-07-24 14:50:54 +08:00 via iPhone
是不是被盗的 ID 成为了家庭组织者,邀请了小号 ID 加入了家人共享?然后小号 ID 内购,这样扣款直接从被盗 ID 扣款?
|
|
140
alihbaba 2023-07-24 14:50:58 +08:00
找到一个和你说的时间差不多的 2023-07-11 18:19:59
第一个字母 Q 你看对不对 密码 |
 |
145
mcluyu 2023-07-24 15:05:06 +08:00 1
支付宝开通 Apple 免密的时候貌似默认勾选了支付限额 300 块, 这种时候支付限额还是很有用的。
|
 |
147
Orz 2023-07-24 15:06:50 +08:00
Apple 就是垃圾。
|
 |
148
c7in7 2023-07-24 15:07:35 +08:00
楼主,是否可以转到其他平台(加出处)让更多人知道这种骗术?
|
 |
151
really28 2023-07-24 15:28:20 +08:00
吓得我赶紧关了十来个用 Apple ID 的 APP
|
 |
153
fuliti 2023-07-24 15:41:35 +08:00
是有点可怕,不过,在我觉得,任何 APP 向你索要 ID 密码的时候,基本上可以卸载了。苹果手机,唯一安全的底线,就是这个密码
|
 |
155
0ranger 2023-07-24 15:55:42 +08:00
@alihbaba #118 118 楼的 app 有链接吗?我想看一下这类弹窗和 apple 正版的差别(新下的菜谱大全已经打不开了)
|
 |
156
dsb2468 2023-07-24 16:03:08 +08:00
|
|
157
alihbaba 2023-07-24 16:03:33 +08:00
@0ranger aHR0cHM6Ly9hcHAyLnlpbWU4ODguY29tL21hbmlmZXN0LnBsaXN0
这个你试试 |
 |
159
Senorsen 2023-07-24 16:24:56 +08:00 1
卧槽,这算是漏洞+社工了,苹果这些客服顾问真出事时一点用也没有,简直了。
|
 |
160
AkaHanshan 2023-07-24 16:27:49 +08:00 1
哈人,这么严重的漏洞 Apple 居然熟视无睹还留着呢
|
|
161
dsb2468 2023-07-24 16:27:56 +08:00
这家伙不止收集 COOKIE ,还在收集抖音+快手的数据
|
|
162
alihbaba 2023-07-24 16:31:29 +08:00 11
弄到权限了
|
|
168
alihbaba 2023-07-24 16:39:47 +08:00
那位老哥偷偷的裸机搞得 挂个代理
|
|
171
alihbaba 2023-07-24 16:43:14 +08:00
@0ranger aHR0cHM6Ly9hcHAueWltZTg4OC5jb20vaXBhLmlwYQ==
这个是我在服务器找的 你试试 |
 |
173
x1abin 2023-07-24 16:45:21 +08:00 9
@dearmymy 国人日常反思党你好,如果你说的属实,那不是苹果自己售后策略的问题吗?国内淘宝京东都有 7 天无理由退货功能,人家不一样运作得好好的?我是亲自体验过苹果售后的高傲和拉跨的,竟然还有你这样帮苹果洗的。
|
 |
174
yghack 2023-07-24 16:46:26 +08:00 3
按照这个思路,封装了一个 webview,测试了一下,确实不需要 2FA
|
 |
176
demonchang 2023-07-24 16:47:19 +08:00
|
|
177
alihbaba 2023-07-24 16:49:29 +08:00
@demonchang 是的
|
|
178
dsb2468 2023-07-24 16:49:40 +08:00
|
|
179
alihbaba 2023-07-24 16:52:07 +08:00
打包的时候隐蔽点啊
|
 |
180
feifeichen 2023-07-24 16:53:28 +08:00 1
笑死,骗子回头一看,家都被偷了
|
|
181
feifeichen 2023-07-24 16:54:32 +08:00
另外建议别在这帖子暴露太多信息
|
|
183
dsb2468 2023-07-24 16:55:24 +08:00
@alihbaba 你把他网站文件删了呀?我还准备给他改下域名地址来着。。
https://app.yime888.com/api/updata_urls.php?url=pianzi&url2=pianzi&url3=pianzi&num=1&txt1=1&txt2=1 |
|
185
alihbaba 2023-07-24 16:57:57 +08:00 1
遂把他东西打包了 日志还全删了
|
|
186
alihbaba 2023-07-24 16:59:20 +08:00
真他妈牛逼 真会装逼
|
 |
189
samvvv 2023-07-24 17:01:46 +08:00
谁给删了,有没有大佬备份了发一下。
|
 |
190
bluekz 2023-07-24 17:04:59 +08:00
好家伙,这不是 fbi warning 吗!
|
 |
191
freekeeper 2023-07-24 17:12:15 +08:00 via iPhone
打包给楼主应该有助于起诉😨
|
 |
192
BanShe 2023-07-24 17:12:17 +08:00
看一眼都 404
|
|
193
samvvv 2023-07-24 17:13:02 +08:00 1
被删除前主页代码: https://anonymfile.com/Qp6zB/index.php
|
 |
194
DigitalG 2023-07-24 17:16:23 +08:00
要不要提交到 https://news.ycombinator.com 那边?感觉也容易在海外引起关注。关注的人多了,Apple 多少会有下文的吧
|
|
195
samvvv 2023-07-24 17:16:37 +08:00
|
 |
197
windorz 2023-07-24 17:30:19 +08:00
插眼, 过于离谱, 关注一下.
|
 |
198
aero99 2023-07-24 17:41:22 +08:00
这个 APP 是在国区还是其他区下载的呢,这种 APP 也能上架应该是苹果审核的责任
|
 |
200
SNOOPY963 2023-07-24 17:44:14 +08:00 1
当时有篇报道说开了双重认证还被盗了我还不信
|
Select Language