內地有網民在 iPhone 開啟了雙重認證的情況下,竟被黑客透過漏洞,成功盜取其 Apple ID,偷碌過萬人民幣卡數!
手機儲存了大量的個人資料和支付方法,因此手機的安全非常重要。近日,內地就有一個網民分享,在 iPhone 開啟了雙重認證的情況下,竟然也被黑客透過漏洞,成功盜取其 Apple ID,更用來偷碌了 1.6 萬人民幣(約$17,459)卡數。
盜取 Apple ID
網民在 V2EX 分享,其外母下載了一個名為「菜譜大全」的 App,並做用 Apple ID 授權登入,而且沒有隱藏 Email 地址。
在登入的過程中,突然彈出一個要求輸入 Apple ID密碼的視窗,類似 FaceID 登入失敗後出現的情況,(假!)不過視窗上寫的是「AppLeID」(假!),可見是黑客用來取得 Apple ID 密碼的方法。
黑客透過惡意 App 得到其 Apple ID 後,把自己的手機號碼加入信任號碼中,取得了整個 Apple ID 的所有權限,並創立了一個「家庭共享」帳號,加入了另一個 Apple ID 後用來盜用其信用卡,共盜用了 1.6萬人民幣(約$17,459)。
網民不太理解,為什麼開啟了雙重認證,但對方可以在沒觸發雙重認證的情況下,可以在另一個裝置登入 Apple ID。BugOS 技術經分析事情後認為,該惡意App有一個隱藏的 WebView,用來訪問 appleid.apple.com,而且無需雙重認證,只要 FaceID 即可登入。
而黑客利用惡意 App 取得 Apple ID 電郵地址和密碼,獲取 Apple ID 權限後刪除其他信任裝置,因此能自行進行雙重認證,而且在支付時不會令受害者收到通知。
防範方法
很多用家都以為,使用雙重認證就能避免 Apple ID 被人盜用,但從以上的實例中可以得知,仍有一些方法能繞過雙重認證,盜用帳號和密碼。
想避免 Apple ID 被盜用,第一樣要做的是:
- 使用 Apple ID 登入第三方 App 時,要選擇隱藏帳號,以免開發商得到帳號地址。
- 另外,如第三方 App 跳出要求手動輸入密碼的情況,建議不要輸入。
- 在 Apple 官網和 App 以外,也不應輸入 Apple ID 和密碼。
旅行會使我們感到靜默,但也能因此讓我們成為會說故事的人
【GOGOAdvise Travel旅遊日記 現在徵稿】
歡迎來稿分享對旅遊、購物、美食、活動既情報。如蒙投稿,請寄 aeronautmediacompany@gmail.com,另請附上照片一張及不多於80字撰稿人簡介,撰稿人可用真名或筆名。文章一經採用,或會將由Travel旅遊日記編輯部作潤飾,及會開設作者個人專欄。
