几天前，一些苹果手机用户报告他们的手机支付出现异常，这表明他们的苹果ID在苹果应用商店产生了大量的消费，从几百元到数万元不等（见图1），问题是这些消费不是由美国政府运营的。塞尔维亚人自己或亲戚。消费记录显示，其中大部分是应用程序内购买。有一段时间，新闻报道还在继续，事件的影响也在扩大。业界称之为偷苹果。

用户的苹果ID是如何被盗的

显然，图1中的用户的苹果ID被窃取了。尽管幕后黑手党还没有被锁定，但从犯罪的集中时间（凌晨）和影响范围来看，黑客这么做的可能性是。

关注苏宁财富信息公众号的读者可能从我们之前的文章中了解到，黑客可以拖拽和破坏图书馆，也就是说，黑客可以从其他（非苹果）平台（拖拽图书馆）获取大量的账户信息，因为有些用户习惯于使用相同的账号和密码注册。ORD，这样黑客可以使用拖动库在苹果应用商店中获得相同的帐户。用户名（主要是邮箱）和密码组合，尝试登录可以成功（冲突库）。

在可以登录的苹果ID中，有一些已经打开了支付通道进行无秘密支付，如图2所示。

This protocol allows Apple App Store to initiate a deduction directly to the user's associated payment account without additional verification when receiving the user's (Apple ID) request for consumption.That is to say, without knowing the victim's payment account and password, hackers can purchase fee items (such as game equipment, virtual currency, etc.) in App at will, sell and cash virtual goods in the victim's App account, and realize benefit transfer.

为什么有大量的盗窃几万元

这是因为苹果和应用在其秘密的免费支付协议中没有默认的扣减限额，这在盗窃时是非常危险的。目前，支付应用建议用户调整上限。毕竟，从预扣协议的约束来看，支付机构本身无法验证原始消费者发起人是用户还是黑客。风险控制只能在预扣请求的发起人（Apple）中进行。

许多读者可能会想，为什么黑客在掌握了他人的苹果ID后，可以随时、随地登录并在应用商店自由消费。苹果是否完全没有风控制

当然不是！在这起事件中，苹果ID被偷的受害者没有打开双重身份验证功能。黑客掌握了他的帐户密码，可以登录并使用从未登录过ID的iOS设备，甚至可能在同一iOS设备上登录多个受害者的苹果ID。这在短时间内导致了大量被盗事件。

什么是双重身份验证

此功能由苹果开发，用于管理和控制Apple ID登录iOS设备/网页。简单地说，苹果将记录用户ID经常登录的设备号。如果ID想要登录一个奇怪的设备/网页（IP），它必须由用户的公共设备授权。如下图3所示，当我尝试在一台陌生的计算机（与一个奇怪的iOS设备相同）上登录苹果的Apple ID管理页面时，我将被要求输入一个验证代码。

同时，我使用每日iPhoneX屏幕弹出提示如下：图4：

如果确认登录行为安全可靠，请单击权限以显示6位身份验证代码，并将其输入您登录的设备的界面。您还可以选择信任该设备并将其添加到Apple ID中的受信任设备列表中（您可以登录到设备上的Apple ID，以后不必再次输入身份验证代码）。：

有了这个功能，黑客必须在一个陌生的（不可信的）设备上登录被盗的苹果ID，没有用户的授权他什么也做不了，所以不会有盗窃或其他信息泄露。

事实上，苹果的双重认证逻辑与我们对短信认证的常见应用程序登录要求相同。它检查登录服务器上的帐户和硬件设备之间的关系，并提供额外的身份验证步骤，允许用户通过相对安全的通道进行登录授权。但是，窃取门的用户不会打开双重身份验证。

通常的风控制如何防止刷洗盗窃

智能数据分析是一种趋势，如苏宁极地账户异常预警系统：通过成员信息、行为特征、设备信息、交易信息的组合，建立多维层次化系统；基于数据挖掘和随机森林的XGBook机器学习算法。Rithm，评估用户异常风险的可能性，确保评分的高准确性，目前该系统已应用于账户登录和消费环节。它可以很容易地识别被盗账户在异常位置/异常设备上的登录行为，以及在异常时间发生的异常消费行为，并护送用户的账户和财产安全。

最后，在前面的技术分析的基础上，梳理了苹果用户的正确姿态，防止支付账户被偷刷：

（1）多个账户之间不使用相同或非常相似的密码，可以有效防止黑客与数据库发生碰撞。

（2）签订无秘密支付协议时，应仔细阅读文本条款，确认支付条件和限额，或是否有自动按期续费（扣款）等附属项目。同时检查支付应用（或银行应用）中的免保密支付设置，及时关闭不必要的协议，或将支付金额降低到合理范围，如下图6所示：

（3）打开iOS的双重认证功能。路径如下：设置-密码和安全-双重身份验证打开：

（4）如果您想转售旧的iPhone或将其删除给其他亲戚和朋友，您必须记住恢复出厂设置（这将删除您的Apple ID和计算机之间的连接），然后任何试图登录到计算机上的Apple ID的人都将再次触发双重身份验证。

（5）如果您的iPhone丢失，并且您没有设置解锁密码或指纹，请登录已登录Apple ID的计算机，搜索我的iPhone，然后启用丢失模式或删除数据：

最后，如果您没有成功被录用，除了按照上述步骤完成自查外，请尽快致电苹果客服电话（400-666-8800）向苹果提出退款申请，并提供您自己的被偷记录，据报道，用户已在本次工作中弥补了损失。哎呀。

资料来源：苏宁财富信息；作者：周成，苏宁金融学院金融云实验室高级研究员

未经允许不得转载： 十堰秦楚网 十堰资讯门户网站 十堰主流资讯媒体 » 99%的支付账户被偷的人在他们的苹果手机上没有这个功能。