文章摘要
故人 GPT
前言
在 V2EX 社区有用户 airycanon 表示自己家人的 iPhone 开启了 Apple ID 双重认证,但仍然被钓鱼骗钱了。iOS 假弹窗问题由来以久,但这次分享中遇到的是开启了双重验证的账号也未能幸免。
问题陈述
盗刷方式是采用 Apple ID 家庭共享的方式进行,也就是将受害者 Apple ID 加入家庭共享并开启付费功能,然后利用其它 Apple ID 账号在 App Store 里消费,为此网友联系苹果退款结果还被拒绝了。
在这起案例中有两个让人搞不清的问题,第一是诈骗者怎么获得受害者 Apple ID 密码的;第二是已经开启两步验证的情况下,诈骗者是如何获得验证码的。
针对这两个问题 V2EX 网友进行了讨论,最终结果是诈骗者利用苹果验证机制的某种漏洞。
先说第一个问题,怎么骗密码:
这个名为 “菜谱大全” 的 App 利用 WebView 伪造了一个弹窗,这个弹窗与 iPhone 日常的弹窗非常类似,正常情况下我们在 AppStore 购买产品时,如果面容或指纹识别没有通过,则会弹出输入密码的选项。
这个 App 自己伪造了个弹窗,如果是非专业用户,可能看到弹窗就以为是商店弹出的,于是习惯性输入账号和密码。
所以伪造窗口我是知道的,但通过苹果审核上架到 AppStore 里伪造登录窗口钓鱼 Apple ID 密码的我也是头一回见。
上图中可以看到该 App 的登录窗口是 AppLeID 而非 Apple ID,这应该是用来规避苹果审核的?在原帖中有网友提到如果 App 里提到 Apple 则应声明与苹果无关,所以诈骗者只能用这种字符来规避审核的同时迷惑用户。
第二个问题,有密码不行,验证码怎么偷的:
这个问题是最难的了,伪造窗口骗密码并非难事,但怎么骗验证码呢?受害者自述没有在任何地方输入过六位数的验证码,那诈骗者怎么拿到验证码的呢?
目前讨论的结果是诈骗者可能利用了苹果的某种漏洞,首先是在 App 里利用 WebView 直接打开 iCloud 登录界面,这时候苹果会在 iPhone 上自动弹出验证,如果人脸或指纹验证失败,则需要输入密码,这样也能登录。
实际操作中就是诈骗者打开 iCloud 页面发起登录,然后利用 js 之类的伪造数据,让用户输入密码后获得 Cookie 等。
由于是本机操作的,所以苹果可能没有经过 2FA 就直接允许登录了(更新:有开发者已经验证,确实不需要 2FA 验证码即可直接登录),接着诈骗者利用获取的 Cookie 或者 token 等进行自动化操作,在受害者 Apple ID 中添加受信任的手机号码,一旦添加号码,这意味着诈骗者这就可以完全控制这个账号。
所以受害者自述没有看到 2FA 界面,因为这可能就是没有弹出验证码,仅通过密码就搞定了登录。
添加号码后接下来就可以为所欲为了,包括修改 Apple ID 密码、远程抹掉 iPhone 数据、检查该账号下的所有数据,以及直接加入 Apple ID 家庭组利用绑定的账号发起扣款。
期间诈骗者是没有获得受害者银行卡号、密码、短信验证码这类数据的,所以他们通过 AppStore 内购来扣款,说白了这也是洗钱。
至于洗钱方式,大概率是通过某些电商平台低价销售代充产品,一旦有用户下单后,诈骗者就可以安排盗刷来为目标账户充值代付,这样就搞定了洗钱环节。
技术测试
博主 @BugOS 技术组 的测试,受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,这一重大漏洞使得用户扫个脸即可登录。
该 App 又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。
如何防范:
目前不知道苹果什么时候会修复这个漏洞,同时有网友给出应对办法:
- Apple ID 不绑银行卡,只绑了支付宝,但每月免密支付有限额;
- App Store 和 iCloud 登录的不是同一个 Apple ID;
- iCloud 没开查找,这玩意是双刃剑,虽说可以让你设备丢失时及时锁定,但反过来万一 ID 被盗(或者像图中这种被添加了受信任号码)对方也可以锁定和抹除你手中的设备。
总结
1,盗号者上架一个容易被下载的 app
2,app 中放置一个假冒的 Apple ID 登录功能(但实际上它是植入在 app 中的登录苹果 Apple ID 官网 appleid.apple.com 的页面),受害者如果没有仔细观察或无意识就会通过 Face ID 等帮助盗号者 SSO 登录成功
3,app 跳出一个假冒系统弹窗,要求输入 Apple ID 密码,受害者以为第二步 Face ID 登录失败才跳出的密码框,于是继续输入密码(盗号者在第2步拿到账号登录成功的 Cookie,这里又拿到账号密码)
4,盗号者通过2 3 步骤获得的信息,把自己的手机号码(Google Voice)加入双重认证的信任号码中
5,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号内购虚拟商品
从大佬爆破盗号者网站后台来看,受害者已经有好几万了
• 有人分享识别真假系统弹窗的方法:试试在弹窗页面能不能返回到桌面(上划或者按 Home 键),真弹窗返回不了,假弹窗可以
• 从作者文章中可以看到:苹果糟糕的审核、傲慢的服务、客服还没有网友懂的多
• 希望大家注意这种盗号风险,也希望这个事能被苹果、媒体、监管机构和更多人知道,帮助受害者们拿回退款
- 作者:故人
- 链接:https://aaax.me/article/52
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
