躺在寝室和室友聊着天,苹果手机就在眼皮子底下隔空“消费”了自己银行卡内的几大千。
最近,像成都市民小陈一样遭受莫名损失的苹果手机用户不在少数。众多苹果用户反映,在自己不知情的情况下,苹果ID购买了多项App Store内容,造成的损失在几百到几千不等。目前,已有一些受害者称已收到苹果公司的部分退款。
被盗刷的钱大都用来购买了风之大陆、魔域手游等相关的游戏产品。这是利用免密支付业务,盗窃钱财购买虚拟商品,进行套现的违法犯罪行为,专家表示,“这种行为就是销赃。”
Apple ID以前只能通过电子邮箱进行申请。很多用户为了方便记忆,习惯将所有密码设置为同一个,就会让非法用户通过获取电子邮箱密码进行撞库,从而碰撞出Apple ID账号以及密码。
“除了解除免密支付外,还可以对Apple ID设置两步验证。”安全专家表示,此外,签约充值账户设置限额设置不同密码,新注册Apple ID最好采用手机号进行注册。
9日下午7点50分左右,成都市民小陈正躺在寝室和室友聊着天,她的苹果手机却收到了支付宝发来的消费短信提示,显示小陈的支付宝账户在App Store&Apple Music成功付款1000元,随后其又连续收到了支付宝发来的付款信息。“从7点50分到54分,短短4分钟时间,我的银行卡被盗刷了4922元!”小陈在接受记者采访时表示,自己当时专心和室友聊天,并没有从App Store中购买商品。但银行卡却为苹果ID充了值,并通过苹果ID购买了游戏产品。
小陈出示的苹果商店的充值、购买记录显示,其被盗刷的资金用于购买了王者荣耀1180、6480点券等产品,每次交易金额分118元、648元不等,这一共花去2630元,其余的2292则被充值到她的Apple ID中。
小陈告诉记者,她随后就联系了苹果公司,苹果公司说三天内会发邮件回复她,截至记者发稿,“我还没有等到苹果的回复邮件。”
在小陈遭遇此事的前一天,成都某中学的学生小磊有同样经历。小磊告诉记者,8日下午时分,他的苹果手机连续收到了10条左右在App Store&Apple Music的消费提示短信,大多每笔消费金额都为648元,短短几分钟之内,“银行卡内的5832元都用来购买了风之大陆、魔域手游等相关的游戏产品。”当天下午,小磊就联系了苹果、微信的官方客服,并在微信钱包的“微信支付百万保障”功能下进行了申诉。
近日,像小陈、小磊一样遭盗刷的苹果手机用户越来越多,这些受害者建立了QQ群。小磊告诉记者,QQ一群已经500人满员,而QQ二群不断有8、9日被盗刷的受害者进群,截至10日下午6点,二群成员已达87人。而先前的媒体报道称怎么注册苹果id账号国外的,受害者已经超过700人。
记者在“苹果ID被刷处理2群”中看到,盗刷事件的受害者分布在四川、吉林、上海、江苏、山东、广东等多个地区。用户被盗刷的金额多用于购买王者荣耀、大天使之剑H5、魔力宝贝、上古战纪、奇迹觉醒等游戏产品,被盗刷金额为1000余元到6000余元不等。
与媒体之前报道的“苹果仅表示‘同情’,无法退款”的情况不同的是,记者看到“苹果ID被刷处理2群”中已经有多名受害者表示自己的退款申请已经在“处理中”“待处理”。小磊告诉记者,他在10日下午3点多收到了苹果的回复邮件,告知他苹果已经审核了他的案例,并针对相关购买项目为他发放了退款。此外,为了防止日后继续出现未经授权的交易,苹果已经停用了小磊的账户。一名吉林的苹果手机用户也表示,自己前几日被盗刷了2592元,目前已经追回了648元,还有1944元没有眉目;一名山东用户被盗刷1000余元,目前苹果已退款278元。
“除了解除免密支付外,还可以对Apple ID设置两步验证。”安全专家、成都云云科技有限公司技术总监范毅表示,此外,签约充值账户设置限额设置不同密码、尽量别使用真实QQ号邮箱、在QQ邮箱中设置一个别名,利用别名邮箱进行注册及登录都能帮助降低风险。“以后新注册Apple ID最好采用手机号进行注册。”
10日,支付宝工作人员告诉记者,支付宝已经多次联系苹果公司并推动其尽快定位被盗原因,提升安全防范水平,并彻底解决用户权益损失的问题。
支付宝方面还表示,用户可以在支付宝App里,点击我的设置支付额度免密支付/自动扣款App Store,Apple Music&iCloud安全月额度设置符合自己的安全预期的月度限额。
微信方面在接受记者采访时也表示,微信支付已积极联系苹果公司,了解问题解决进展。建议用户通过开启Apple ID双重认证,定期更换密码等方式加强对Apple ID的安全保护,提升对Apple ID绑定的支付方式的管理,降低被盗刷的风险。
多名用户表示,盗刷事件爆发后,均已取消了支付宝、微信支付对苹果手机的免密支付权限,并在App Store中关闭了正在订阅的自动续费服务。
范毅表示,近两年,国内免费电子邮箱服务提供商偶尔会出现用户信息泄露的问题,而Apple ID以前只能通过电子邮箱进行申请。加上很多用户为了方便记忆,习惯将所有密码设置为同一个,就会让非法用户通过获取到的电子邮箱名以及密码进行撞库从而碰撞出Apple ID账号以及密码。而“国内安卓系统手机的默认ID是利用手机号进行登记的,在设置ID或登录时必须要短信验证,因此也导致破解难度较高。”
范毅说,事实上Apple也启用了两步验证,利用短信或者受信任设备进行登录,但目前很多用户仍旧习惯使用Apple ID加密码的非安全组合。
在Apple上进行任何充值业务都必须要借助Apple Store,而安卓系统的应用商店基本只提供App下载,充值缴费并不通过应用商店国外苹果id已停用,“两种软件不同的生态圈,也使得盗窃Apple ID 的价值比起盗窃安卓手机ID的价值要更大。”范毅表示。
事实上,自2016年起,网上就有关于利用Apple的充值功能进行盗刷的新闻,往年以以盗刷银行卡居多。这是利用免密支付业务,盗窃钱财购买虚拟商品,进行套现的违法犯罪行为,范毅表示,“这种行为就是销赃。”