0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

新型Apple ID诈骗:开启双重认证仍被钓鱼

OSC开源社区 来源:OSC开源社区 2023-07-31 16:22 次阅读

V2EX 有一个帖子《家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒》,详细描述了一个新的诈骗过程:在 Apple ID 开通双重认证的情况下,被高仿的李鬼 App 诱骗出密码,并被添加信任号码、家庭共享,再通过家庭共享成员完成消费。但整个过程中,原设备并未出现新设备登录时需要的双重认证验证码,也就是说双重验证并未起作用。

1dcb351c-2ed4-11ee-815d-dac502259ad0.png

在那个帖子中,具体的被骗步骤是这样的:

丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。

7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露,如图

1e2a5132-2ed4-11ee-815d-dac502259ad0.png

接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招,如图

1e4a78f4-2ed4-11ee-815d-dac502259ad0.png

有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。

登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证

1e9cbb82-2ed4-11ee-815d-dac502259ad0.png

到这一步,他已经掌握了受害者 Apple ID 的所有权限。

接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品

1eb5c078-2ed4-11ee-815d-dac502259ad0.png

疑问

整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。

以上内容来自原帖。至于为何登录了新设备或网页而没有弹出二次验证,是此事的最大疑问。 根据博主@BugOS 技术组 的测试,受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,这一重大漏洞使得用户扫个脸即可登录。该 App 又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。

1ef36298-2ed4-11ee-815d-dac502259ad0.png

@BugOS 技术组 表示,当 iPhone 上出现输入 Apple ID 密码的窗口时,按 Home 键或上划手势尝试退出一下,能退出的都是在诈骗。

1f2c990a-2ed4-11ee-815d-dac502259ad0.png

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Apple
    +关注

    关注

    1

    文章

    929

    浏览量

    52793
  • APP
    APP
    +关注

    关注

    33

    文章

    1573

    浏览量

    72440

原文标题:新型Apple ID诈骗:开启双重认证仍被钓鱼

文章出处:【微信号:OSC开源社区,微信公众号:OSC开源社区】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    LoRa模块在钓鱼场景中如何应用?

    小安还记得我第一次去钓鱼的时候,当时还是自己用竹竿,不知道哪里找的一根线,再从课本上弄了一个订书的东西当鱼钩。 相信很多人的人生中第一根鱼竿都是这样自己潦草地制作的。 当然那时候是没有条件拥有更好
    的头像 发表于 08-09 11:26 257次阅读

    Apple设备为什么无法连接到AP?

    连接到 softAP 的 Apple 设备似乎存在一些问题。 我在连接 Windows 笔记本电脑时没有遇到任何问题。 在进行一些数据包捕获后,看起来 esp8266 没有响应来自 Apple
    发表于 07-17 07:51

    IBM Security Storage存储软件,为企业打造新质、安全的IT弹性

    “五一“假期期间,许多人都会放松警惕,成为网络诈骗或网络“钓鱼”的目标,比如将敏感的个人数据和支付数据泄露在电子设备上,或者网络犯罪分子骗取。
    的头像 发表于 05-06 10:21 309次阅读

    北美运营商PTCRB认证和FCC认证之间的关系

    在当今数字化时代,无线通信设备的需求与日俱增,而这些设备必须符合一系列的法律法规和技术标准,以确保其在市场上的合规性和安全性。在北美地区,PTCRB认证和FCC认证就是保障无线通信设备合规销售的双重
    的头像 发表于 04-18 17:26 838次阅读
    北美运营商PTCRB<b class='flag-5'>认证</b>和FCC<b class='flag-5'>认证</b>之间的关系

    新型网络钓鱼服务利用2万个域名攻击全球百余国家

    这一新型PhaaS似乎汇集了各种力量,200余种攻击模板无所不包,可针对性地针对包括邮政、金融、政府、税务机构在内的各行各业进行钓鱼攻击,以及对电信、航空、公共事业等相关行业和机构的攻击。
    的头像 发表于 03-29 16:06 400次阅读

    苹果今年将“Apple ID”更名为“Apple Account”

     Gurman指出,新的“Apple Account”命名将用于网络与近期重大苹果软件升级,譬如适用于iPhone的iOS 18及适用于Apple Watch的watchOS 11等。
    的头像 发表于 03-18 14:38 861次阅读

    Apple ID将成历史,或改名Apple Account

    苹果公司近日释放信号,计划将其标志性的用户身份验证系统Apple ID进行升级,并更名为Apple Account。这一举措标志着苹果在用户体验和品牌战略上的一次重要调整,预计将为用户带来更加直观和统一的账户管理体验。
    的头像 发表于 03-18 11:26 971次阅读

    特斯拉将支持Apple Watch操控汽车?

    参照现有App模式,特斯拉与Apple Watch的整合功能预计可支持车辆解锁以及预加热/冷却、开启/关闭哨兵模式、远程锁车等操作。
    的头像 发表于 03-07 11:11 640次阅读

    苹果手机用同一个id怎么取消同步

    的主屏幕,找到并点击“设置”应用程序的图标。该应用程序的图标通常显示为一个齿轮状图标,位于主屏幕的某个位置。 步骤2:进入“您的名称”部分 在“设置”界面中,您会看到一个包含您的个人信息和Apple ID的“您的名称”部分。点击此部分打开
    的头像 发表于 02-19 10:19 3138次阅读

    苹果手机id密码在哪里找 苹果手机id密码忘记了怎么办

    苹果手机id密码在哪里找 苹果手机id密码忘记了怎么办  苹果手机id密码在哪里找,若苹果手机id密码忘记了,可以通过以下几种方法来解决这个问题。 1. 使用
    的头像 发表于 02-18 13:42 2160次阅读

    上汽大众ID.家族1月销量破万

     其中,ID.3在市场表现中占据主导地位。该车型于2023年年初推出了ID.3 2024款的三个子类别,各个配置在12到14万价格区间都具有竞争力。
    的头像 发表于 02-01 16:05 1365次阅读

    蓝牙产品FCC-ID认证申请流程及解析认证难点

    委员会)的认证,取得FCC-ID。本文英利检测将介绍蓝牙产品FCC-ID认证申请的流程,并解析其中的认证难点。仅供参考。蓝牙产品FCC-
    的头像 发表于 01-30 16:44 2138次阅读
    蓝牙产品FCC-<b class='flag-5'>ID</b><b class='flag-5'>认证</b>申请流程及解析<b class='flag-5'>认证</b>难点

    Apple Vision Pro的相关供应商公开

    当地时间1月19日早上8点,苹果在美国开启Apple Vision Pro 的预售,首批产品迅速售罄。
    的头像 发表于 01-24 11:28 856次阅读
    <b class='flag-5'>Apple</b> Vision Pro的相关供应商公开

    Apple Find My认证芯片-ST17H6x芯片

    深圳市伦茨科技有限公司(以下简称“伦茨科技”)发布ST17H6x Soc平台。成为继Nordic之后全球第二家取得Apple Find My「查找」认证的芯片厂家,该平台提供可通过Apple
    的头像 发表于 01-05 10:54 571次阅读
    <b class='flag-5'>Apple</b> Find My<b class='flag-5'>认证</b>芯片-ST17H6x芯片

    ST17H6x苹果Find My认证芯片,助你快速量产苹果认证Find My产品

    深圳市伦茨科技有限公司(以下简称“伦茨科技”)发布ST17H6x Soc平台。成为继Nordic之后全球第二家取得Apple Find My「查找」认证的芯片厂家,该平台提供可通过Apple
    的头像 发表于 12-29 10:45 501次阅读
    ST17H6x苹果Find My<b class='flag-5'>认证</b>芯片,助你快速量产苹果<b class='flag-5'>认证</b>Find My产品