头号研究社-海外苹果ID购买注册|海外苹果礼品卡及Arcade订阅|海外账号购买、教程全文:其本质上仍是帐号重要信息外泄,建议减少同帐号多网络平台许可行为。
苹果设备和缴付网络平台T2310,增设缴付圈套,从8月份开始数万人失窃刷了上百元,竟然还难以付款!近日,来自全国各地的苹果移动使用者屡屡拨打北京街坊服务项目热线电话12345,举报他们的苹果ID帐号失窃号,存取的相应缴付网络平台被用于付款,最高经济损失已达数万元,而位于北京的苹果中国公司对失窃刷使用者提出的付款索偿表示难以操作。
恶意透支是怎样出现的?怎样注意和防治?人民日报·祝丹妮摄影记者采访了两位失窃刷的见证者和重要信息安全专家。
眼巴巴地失窃刷3笔,难道是帐号重要信息外泄?
9月24日22时10分,湖南重庆李女士刚洗澡,像从前一样,拿起他们的iphone6Plus,发现萤幕中出现了缴付宝通告快捷方式,表明于22时09分在App Store&Apple Music获得成功付款1000元;几秒后,又来了条通告,同样表明其付款了1000元。不过1两分钟后,缴付宝知会其获得成功停用Apple,and GCBD for iCloud的App Store,Apple Music,&icloud由云上四川营运服务项目。
眼巴巴地看着他们的帐户相继被计入1000元,又手动停用了几项苹果服务项目,李女士慌了神:到底出现了啥?
随后,她点选【增设】-【iTues Store与App Store】,查阅他们的Apple ID,选择买回历史记录,查阅近90天内的买回历史记录。李女士惊愕,当日的买回历史记录上表明,她为Apple ID储值了一万六千服务费,分别是1000元、1000元和100元。在此之后,她还为这款名叫幻境公文包版的格斗游戏买回了3笔商业价值648元的魔剑,另买回了这款名叫首作格斗游戏商业价值45元和98元的五龙。状态都是待付款,几秒钟后都变成了已完成。这些格斗游戏,我众所周知,更别说浏览了。李女士很疑惑。
李女士失窃刷的服务费用于买回格斗游戏装备。
苹果ID都是使用者邮箱,登陆、付款等操作状态及变动都会通过邮件形式知会使用者。李女士立即打开邮箱,发现苹果公司于当日晚上22时06分发来一份操作提醒邮件,表明她的这个QQ邮箱(即苹果ID)被用于在iphone6上登陆了icloud。但李女士仅有一台苹果设备,就是手边的iphone6Plus,当即觉得他们是失窃号了。
李女士存取苹果ID的付款方式为缴付宝,于是她又打开了缴付宝,查找付款流程,发现出现的扣费先是用了缴付宝零钱,不够扣就手动转为花呗缴付。平时用缴付宝都是使用密码或指纹,恶意透支者是怎么计入服务费的呢?
在和其他受害者交流中,李女士意识到此前缴付宝通告当中有过停用某项服务项目的提醒,其实就是停用Madurai缴付功能,但她怎么也记不起他们什么时候开通过这项服务项目,更没有使用过。她怀疑可能是他们的重要信息遭外泄,被不法分子利用。
她前前后后联系苹果客服40066688008次,但对方除了表示同情,就是在提交系统审核后知会其难以付款,没有理由。李女士转而向北京消费者保护委员会请求协助索偿,但苹果方面此后回复李女士的结果,依然是系统判定难以付款。
9两分钟失窃刷7笔,3240元仅退回640元
山西太原的成先生同样遇到了恶意透支,金额达3240元。但比李女士幸运的是,他追回了640元。9月19日7时,一觉醒来的他发现有笔640元消费,本以为是昨日在医院检查时产生的服务费,就没当回事。
但他登陆微信交易账单时发现,前一天晚上23时31分开始,9两分钟内被连续扣取了7笔服务费,全部都是给苹果ID储值的订单。成先生当即拨打苹果客服,客服查询后帮其将最近的一笔640元缴付退回,剩余的服务费则需要申请并获得认可。
成先生9两分钟内失窃取3240元。
9月21日,成先生收到了苹果公司邮件,称经过审核,我们仍然难以撤销您帐号中未经许可交易的相关服务费。成先生气不过,再次拨打客服,对方表示这是审核结果,难以付款,具体原因不清楚。至于谁在审核,无可奉告。
成先生强调,他们的帐号和密码仅用于该苹果手机设备,且帐号密码也比较唯一,没有用于注册其他应用,怎么会出现恶意透支情况?他回忆此前买回过15元/月和10元/月的优酷、爱奇艺订阅服务项目,由于金额较小,他同意开通了手动付款项目。他推测,一定是此前使用了Madurai缴付功能,而恶意透支者掌握了他的路径,找到了缴付功能漏洞。
9月成苹果ID恶意透支高峰,全国受害者超过700人
据两位受害者讲述,通过微博就能搜索到了两个苹果ID被刷处理的QQ群,每个群的成员数量都已达300-400王承恩,两个群加起来,人数起码在700人以上,分布在全国各地。群成员几乎都在9月份出现了失窃刷状况,累计失窃刷金额从几百到数万元不等。往往在事发后,才意识到他们增设了Madurai缴付,即便知道,也没有限定Madurai缴付的频次和额度。大家寻求过警方帮助,但最终只能通过他们与苹果公司交涉。
群成员都在寻找恶意透支元凶,但都无果。只能亡羊补牢,解绑苹果设备上所有缴付网络平台,取消缴付网络平台上的Madurai缴付或手动付款功能,同时更换苹果ID帐号密码,有人甚至把原ID注销。
记者登陆苹果手机帐户,查阅付款方式的增设,发现目前苹果提供的付款方式有缴付宝、微信缴付、银行卡、快捷缴付等。记者存取的是缴付宝帐户,帐户下方有一行如需重新存取请轻点此处的选项,但点选跳转后,表明的界面为同意Madurai付款许可协议并开通,为何重新存取帐户变成了同意免费付款?
记者在苹果手机上查阅付款方式,点选更换重新存取帐户,跳转后的页面是同意协议并开通Madurai缴付,许可重要信息说明模糊。
微信也增设了手动付款功能。
记者查阅缴付宝Madurai付款的协议内容,从头到尾也未看到付款的频次和额度范围,内容中有一段字体加粗的内容:缴付宝只是被许可指令的执行方,除非没有依照特定第三方的指令进行操作,或操作指令错误,否则缴付宝不对本服务项目产生的经济损失和责任负责;不加粗的内容当中,提到缴付宝会对您选择的不同付款渠道的付款额度做出不同的控制,日付款许可额度及日许可次数,均以缴付宝向您具体公告的为准。若超过该限额的话,将会付款失败,难以完成缴付。
怎样控制付款额度?许可额度和次数默认又是多少?公告又在哪里?不少受害者表示不清楚。
而缴付宝如此介绍Madurai缴付功能:苹果设备上储值视频网站VIP会员、买回格斗游戏道具或其他付费项目时,将通过缴付宝手动完成缴付,百万APP和格斗游戏一触即得。这些功能与受害者们的经历颇为重合,比如,失窃刷的付费项目多用于名不见经传的格斗游戏储值,或者受害者此前使用过Madurai缴付/手动付款的订阅服务项目。
从实际经济损失看,恶意透支者的单次恶意透支金额基本不会超过2000元,可见极有可能,恶意透支者是利用Madurai缴付的漏洞,通过单次额度内多次扣费进行恶意透支。
专家:其本质上仍是帐号重要信息外泄,建议减少同帐号多网络平台许可行为
对此,一名从事重要信息安全与优化的业内人士告诉记者:恶意透支其本质上还是帐号、密码失窃导致。帐号密码相当于所有重要信息的城墙,如果帐号密码失窃,黑客攻入城墙,付款方式的安全漏洞就都暴露出来;借助Madurai缴付、手动付款等方便缴付功能的东风,恶意透支就很容易出现。但大前提,仍然是帐号安全出了问题。
帐号密码是使用者他们管理的,如果失窃了,使用者他们有一定责任,比如密码增设太过简单;在其他网络平台随意许可登陆,被交易流出。这种情况下,苹果公司不会赔偿。当然,若是苹果公司自身外泄帐号或被黑客攻击外泄,可以要求苹果公司进行赔偿,但是普通使用者在举证方面存在困难。而且苹果帐号本身就可以在多个设备之间登陆,这给了恶意透支者非法操作的空间。从后台看,较难判断是使用者还是恶意透支者的操作。
当然,缴付网络平台和苹果公司有义务在提供Madurai缴付功能时,给使用者提供明确的缴付额度、频次的选项,在许可前增设一道加密措施,给使用者的财产安全增加一道防线。
他建议使用者,在增设相对复杂的帐号和密码之外,应当留心各网络平台之间帐号重要信息的许可行为及协议,尽量减少同帐号密码的多网络平台使用,留意Madurai缴付开通的协议及更新内容,管理好他们的Madurai缴付额度和频次限额。
淮北公安曾对苹果ID恶意透支行为进行过分析。
举报/反馈
未经允许不得转载:头号研究社-海外苹果ID购买注册|海外苹果礼品卡及Arcade订阅|海外账号购买、教程 » 苹果ID账号被盗刷上千元,700多人中招!问题出在“被免密支付”?
