桑間濮上網(wǎng)蘋果開啟兩步驗(yàn)證竟然還被盜號(hào)?釣魚App竟然偽造iOS密碼登錄框 – 藍(lán)點(diǎn)網(wǎng)
昨天 V2EX 上網(wǎng)友分享的蘋果一篇帖子引起了很多的關(guān)注,這名網(wǎng)友的開啟框藍(lán)家人 Apple ID 已經(jīng)開啟兩步驗(yàn)證的情況下,仍然被釣魚且密碼被盜導(dǎo)致賬號(hào)被盜,兩步武漢江漢酒店美女模特上門包夜vx《749-3814》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)詐騙者利用受害者賬戶信息盜刷 1.6 萬元。驗(yàn)證
盜刷方式是竟然p竟采用 Apple ID 家庭共享的方式進(jìn)行,也就是還被將受害者 Apple ID 加入家庭共享并開啟付費(fèi)功能,然后利用其它 Apple ID 賬號(hào)在 App Store 里消費(fèi),盜號(hào)釣魚登錄點(diǎn)網(wǎng)為此網(wǎng)友聯(lián)系蘋果退款結(jié)果還被拒絕了。然偽
在這起案例中有兩個(gè)讓人搞不清的密碼問題,第一是蘋果武漢江漢酒店美女模特上門包夜vx《749-3814》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)詐騙者怎么獲得受害者 Apple ID 密碼的;第二是已經(jīng)開啟兩步驗(yàn)證的情況下,詐騙者是開啟框藍(lán)如何獲得驗(yàn)證碼的。
針對(duì)這兩個(gè)問題 V2EX 網(wǎng)友進(jìn)行了討論,兩步最終結(jié)果是驗(yàn)證詐騙者利用蘋果驗(yàn)證機(jī)制的某種漏洞。
先說第一個(gè)問題,竟然p竟怎么騙密碼:
這個(gè)名為 “菜譜大全” 的還被 App 利用 WebView 偽造了一個(gè)彈窗,這個(gè)彈窗與 iPhone 日常的彈窗非常類似,正常情況下我們?cè)?AppStore 購(gòu)買產(chǎn)品時(shí),如果面容或指紋識(shí)別沒有通過,則會(huì)彈出輸入密碼的選項(xiàng)。
這個(gè) App 自己偽造了個(gè)彈窗,如果是非專業(yè)用戶,可能看到彈窗就以為是商店彈出的,于是習(xí)慣性的輸入賬號(hào)和密碼。
這也讓藍(lán)點(diǎn)網(wǎng)想起了盒馬先生,之前藍(lán)點(diǎn)網(wǎng)曾經(jīng)遇到過盒馬先生彈出評(píng)價(jià)窗口,這個(gè)窗口也是偽造的 App 內(nèi)評(píng)分窗口,如果選擇非五星好評(píng),則提交時(shí)盒馬會(huì)彈出反饋的窗口,也就是不向 AppStore 提交評(píng)價(jià);如果用戶點(diǎn)的是五星好評(píng),則向 AppStore 提交評(píng)價(jià)。
所以偽造窗口我是知道的,但通過蘋果審核上架到 AppStore 里偽造登錄窗口釣魚 Apple ID 密碼的我也是頭一回見。
上圖中可以看到該 App 的登錄窗口是 AppLeID 而非 Apple ID,這應(yīng)該是用來規(guī)避蘋果審核的?在原帖中有網(wǎng)友提到如果 App 里提到 Apple 則應(yīng)聲明與蘋果無關(guān),所以詐騙者只能用這種字符來規(guī)避審核的同時(shí)迷惑用戶。
第二個(gè)問題,有密碼不行,驗(yàn)證碼怎么偷的:
這個(gè)問題是最難的了,偽造窗口騙密碼并非難事,但怎么騙驗(yàn)證碼呢?受害者自述沒有在任何地方輸入過六位數(shù)的驗(yàn)證碼,那詐騙者怎么拿到驗(yàn)證碼的呢?
目前討論的結(jié)果是詐騙者可能利用了蘋果的某種漏洞,首先是在 App 里利用 WebView 直接打開 iCloud 登錄界面,這時(shí)候蘋果會(huì)在 iPhone 上自動(dòng)彈出驗(yàn)證,如果人臉或指紋驗(yàn)證失敗,則需要輸入密碼,這樣也能登錄。
實(shí)際操作中就是詐騙者打開 iCloud 頁(yè)面發(fā)起登錄,然后利用 js 之類的偽造數(shù)據(jù),讓用戶輸入密碼后獲得 Cookie 等。
由于是本機(jī)操作的,所以蘋果可能沒有經(jīng)過 2FA 就直接允許登錄了,接著詐騙者利用獲取的 Cookie 或者 token 等進(jìn)行自動(dòng)化操作,在受害者 Apple ID 中添加受信任的手機(jī)號(hào)碼,一旦添加號(hào)碼,這意味著詐騙者這就可以完全控制這個(gè)賬號(hào)。
所以受害者自述沒有看到 2FA 界面,因?yàn)檫@可能就是沒有彈出驗(yàn)證碼,僅通過密碼就搞定了登錄。
添加號(hào)碼后接下來就可以為所欲為了,包括修改 Apple ID 密碼、遠(yuǎn)程抹掉 iPhone 數(shù)據(jù)、檢查該賬號(hào)下的所有數(shù)據(jù),以及直接加入 Apple ID 家庭組利用綁定的賬號(hào)發(fā)起扣款。
期間詐騙者是沒有獲得受害者銀行卡號(hào)、密碼、短信驗(yàn)證碼這類數(shù)據(jù)的,所以他們通過 AppStore 內(nèi)購(gòu)來扣款,說白了這也是洗錢。
至于洗錢方式,大概率是通過某些電商平臺(tái)低價(jià)銷售代充產(chǎn)品,一旦有用戶下單后,詐騙者就可以安排盜刷來為目標(biāo)賬戶充值代付,這樣就搞定了洗錢環(huán)節(jié)。
這種問題怎么防范:
很難,因?yàn)檫@類偽造的彈窗總能騙到非專業(yè)用戶。對(duì)于專業(yè)用戶,如果有條件的話可以上硬件密鑰,這可以提高安全性,但從上面的案例中可以看到本機(jī)鑒權(quán)沒有發(fā)起 2FA 驗(yàn)證,那硬件密鑰有用嗎?在 Apple ID 上用過硬件密鑰的用戶可以在 Safari 中打開 https://appleid.apple.com/ 登錄測(cè)試看看。
另一種降低損失的辦法就是無論是綁定的微信支付還是支付寶,都設(shè)置限額,設(shè)置限額后即便被盜,最多也只能盜刷設(shè)置限額以內(nèi)的金額,不至于造成太大損失。
除了這些辦法,目前好像也沒什么太好的解決辦法了。
