歡迎光臨
每天分享高質量文章

可怕!超700人蘋果賬戶被盜刷!蘋果公司:同情,但無法退款!

來源:中國青年報、上觀新聞、現代快報(xiandaikuaibao)、解放日報、新浪微博、儂好上海、錢江晚報


蘋果手機使用者們註意了!

如果你上個月的支付寶賬單金額特別高

要!警!惕!

趕緊檢視一下支付清單

有沒有什麼奇怪的支出?


近日,全國各地的蘋果手機使用者頻頻投訴自己的蘋果ID被盜號,系結的相應支付平臺被用於扣款,最高損失已達上萬元,而上海蘋果中國公司對被盜刷使用者提出的退款申訴卻表示無法操作。


被盜刷2000多元 蘋果:同情卻無法退款


9月24日22時10分,湖北武漢劉女士拿起自己的iPhone6Plus,發現螢幕中出現了支付寶通知彈窗,顯示22時09分在App Store&Apple; Music成功付款1000元;幾秒鐘後,又來了條通知顯示付款1000元。1分鐘後,支付寶告知“成功關閉Apple,and GCBD for iCloud的App Store,Apple Music,&iCloud;由雲上貴州運營服務。”


劉女士就這樣眼睜睜看著自己的賬戶接連被扣除2000元,又自動關閉了一項蘋果服務!


隨後,她查看了自己的Apple ID近90天內的購買記錄,這讓劉女士大驚失色,顯示,她當天為Apple ID“充值”了三筆費用,分別是1000元、1000元和100元。她還為一款名叫“魔域口袋版”的遊戲“購買”了3筆價值648元的“魔石”,另購買了一款名為“傳奇世界”遊戲價值45元和98元的“元寶”。狀態都是“待付款”,幾分鐘後都變成了“已完成”。“這些遊戲,我聞所未聞,更別提下載了。”劉女士一臉困惑。


劉女士被盜刷的費用用於購買遊戲裝備


劉女士開啟郵箱,發現蘋果公司當晚22時06分發來一份“操作提醒”郵件,顯示她的蘋果ID在iPhone6上登入了iCloud。但劉女士僅有iPhone6Plus一臺蘋果裝置,當即覺得自己是“被盜號了。”


隨後,她又開啟支付寶,查詢扣款流程,發現扣費先是用了支付寶零錢,不夠扣就自動轉為花唄。“



問題來了,平時用支付寶都是使用密碼或指紋,盜刷者是怎麼扣除費用的呢?”


在和其他受害者交流中,劉女士想起此前支付寶通知中有過“關閉免密支付功能”的提醒,但她怎麼也記不起自己什麼時候開透過這項服務,更沒有使用過。她懷疑可能是自己的資訊遭洩露,被不法分子利用。


她前前後後聯絡蘋果客服“4006668800”8次,但對方除了表示“同情”,就是在提交系統審核後告知其無法退款,沒有理由。劉女士轉而向上海消費者保護委員會請求協助申訴,但蘋果方面此後回覆劉女士的結果,依然是“系統判定無法退款”。


蘋果ID被盜刷頻現 受害者超700人


據報道,上海市民服務熱線12345接到大量投訴,最近不少人反映自己的蘋果賬戶被莫名盜刷了,最倒黴的一位被盜刷了上萬元。



像劉女士這樣的受害者越來越多,大家在網上建了QQ群,每個群的成員數量都已達300-400多人,分佈在全國各地,目前受害者加起來已經超700人。


群成員幾乎都在9月份發生了被盜刷狀況,累計被盜刷金額從幾百到上萬元不等。事發後,大家才意識到可能是因為自己設定了免密支付,卻沒有限定免密支付的頻次和額度。


群成員只能解綁蘋果裝置上所有支付平臺,取消支付平臺上的免密支付或自動扣款功能,同時更換蘋果ID賬號密碼,有人甚至把原ID登出。


盜刷者可能利用免密支付漏洞

單次額度內多次扣費


記者登入蘋果手機賬戶,檢視付款方式的設定,發現目前蘋果提供的付款方式有支付寶、微信支付、銀行卡、快捷支付等。記者系結的是支付寶賬戶,賬戶下方有一行“如需重新系結請輕點此處”的選項,但點選跳轉後,顯示的介面為“同意免密扣款授權協議並開通”,為何重新系結賬戶變成了同意免密支付?



記者在蘋果手機上檢視付款方式,點選更換重新系結賬戶,跳轉後的頁面是“同意協議並開通”免密支付,授權資訊說明模糊。


微信也設定了自動扣款功能


記者檢視支付寶免密扣款的協議內容,從頭到尾也未看到扣款的頻次和額度範圍,有一段字型加粗的內容:“支付寶只是被授權指令的執行方,除非沒有依照特定第三方的指令進行操作,或操作指令錯誤,否則支付寶不對本服務產生的損失和責任負責”;不加粗的內容當中,提到“支付寶會對您選擇的不同扣款渠道的付款額度做出不同的控制,日付款授權額度及日授權次數,均以支付寶向您具體公告的為準。若超過該限額的話,將會扣款失敗,無法完成支付”。


如何控制付款額度?授權額度和次數預設又是多少?公告又在哪裡?不少受害者表示不清楚。


而支付寶如此介紹免密支付功能:蘋果裝置上充值影片網站VIP會員、購買遊戲道具或其他付費專案時,將透過支付寶自動完成支付,“百萬APP和遊戲一觸即得”。這些功能與受害者們的經歷頗為重合,比如,被盜刷的付費專案多用於名不見經傳的遊戲充值,或者受害者此前使用過免密支付/自動扣款的訂閱服務。


從實際損失看,盜刷者的單次盜刷金額基本不會超過2000元,可見極有可能,盜刷者是利用免密支付的漏洞,透過單次額度內多次扣費進行“盜刷”。


支付寶建議:開啟“雙重認證”+“安全月限額”


對此,一名從事網路安全與最佳化的業內人士告訴記者:盜刷本質上還是賬號、密碼被盜導致。


賬號密碼相當於所有資訊的城牆,如果賬號密碼被盜,駭客攻入城牆,付款方式的安全漏洞就都暴露出來;藉助免密支付、自動扣款等方便支付功能的“東風”,盜刷就很容易發生。但大前提,仍然是賬號安全出了問題。


  • 賬號密碼是使用者自己管理的,如果被盜了,使用者自己有一定責任,比如密碼設定太過簡單;在其他平臺隨意授權登入,被交易流出。這種情況下,蘋果公司不會賠償。


 請註意,不!會!賠!償!


  • 若是蘋果公司自身洩露賬號或被駭客攻擊洩露,可以要求蘋果公司進行賠償,但是普通使用者在舉證方面存在困難。而且蘋果賬號本身就可以在多個裝置之間登入,這給了盜刷者非法操作的空間。從後臺看,較難判斷是使用者還是盜刷者的操作。


當然,支付平臺和蘋果公司有義務在提供免密支付功能時,給使用者提供明確的支付額度、頻次的選項,在授權前增設一道加密措施,給使用者的財產安全增加一道防線。


淮北公安曾對蘋果ID盜刷行為進行過分析


建議使用者,在設定相對複雜的賬號和密碼之外,應當留心各平臺之間賬號資訊的授權行為及協議,儘量減少同賬號密碼的多平臺使用,留意免密支付開通的協議及更新內容,管理好自己的免密支付額度和頻次限額。


目前支付寶官方給出的建議是:開啟“雙重認證”+“安全月限額”。


★ 支付寶APP找:“Apple 專區”,點選“系結”進入

趕緊自查!



●編號306,輸入編號直達本文

●輸入m獲取文章目錄

推薦↓↓↓

 

駭客技術與網路安全

更多推薦18個技術類微信公眾號

涵蓋:程式人生、演演算法與資料結構、駭客技術與網路安全、大資料技術、前端開發、Java、Python、Web開發、安卓開發、iOS開發、C/C++、.NET、Linux、資料庫、運維等。

贊(0)

分享創造快樂