V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
leega0
V2EX  ›  Apple

[警醒] 支付宝的 App Store 免密支付盗刷

  •  1
     
  •   leega0 · 23 天前 · 5314 次点击

    背景:一大早还没睡醒,家里人突然把我叫醒说支付宝被盗刷了,我一看,支付宝提示有十多条 App Store 的免密交易记录,有成功有失败的,合计大概近 2000 的金额。

    措施:首先马上关闭了支付宝的免密支付,然后修改了苹果账户的密码。

    原因:上周收到了钓鱼短信,她居然老老实实输入了账户密码(我说安全教育了那么多,她反驳说不是银行卡啥的就没注意)目前短信已经找不到,不知道为何消失了,但是还有网页访问记录(图 1 ),然后这个操作可能就是通过用户两步验证添加了授权设备,凌晨增加了家庭共享账户(图 2 )进行消费充值。

    疑惑: 1 、用这么多年苹果都没搞懂家庭账户消费,骗子轻松拿捏,而且这中间不需要主账号进行任何支付前的二次确认。 2 、支付宝风控能力是有,为什么不拦截全部,我前几天给新家充电费提示交易中断且需要我本人上传材料才能解除限制,苹果免密大半夜连续消费却成功一部分拦截一部分。

    补救: 1 、支付宝交易记录中维权账户盗刷,提示免密交易不属于支付宝账户责任,引导我联系苹果客服。 2 、打客服电话反馈了,说 48 小时内给回复。(概率似乎不大,退款成功多,拒绝的也多) 3 、准备打 12315

    警醒:关闭各类免密支付,多给家人做安全教育,我这就是个反面例子,短信的链接不管什么都不要乱点,一般人没有区分是不是官方的短信或者什么。

    图 1 图 2

    第 1 条附言  ·  22 天前
    现在想问问大家,还有什么补救措施概率稍微大一点,内心其实已经做好了这两千的损失了,目前还联系了信用卡那边,希望多一点希望。
    第 2 条附言  ·  22 天前
    27 日更新:信用卡客服来电说会给我发一份拒付申请邮件让我填好回复,希望+20%
    59 条回复    2024-10-28 14:29:34 +08:00
    LiuJiang
        1
    LiuJiang  
       23 天前
    好的,感谢分享
    Totoria
        2
    Totoria  
       22 天前
    米!
    tangyujing99
        3
    tangyujing99  
       22 天前
    1 、骗子钓鱼拿到 Apple ID 密码并成功在 app store 登录。
    2 、恰巧该 Apple ID 绑定了有效支付方式(支付宝)。
    3 、骗子 App Store 内购盗刷成功。

    ------
    我本人是美区 id 有余额,内购都是只需要面容识别或者输入密码就完成付费的。不知道支付宝/微信/信用卡这些情况。
    tangyujing99
        4
    tangyujing99  
       22 天前
    @tangyujing99 我想表达的是完成绑定有效支付方式之后的付费似乎只需要验证 Appleid 的密码即可。这个问题可能在苹果这边哦。如有错请网友指出。
    tangyujing99
        5
    tangyujing99  
       22 天前
    @tangyujing99 #3
    更正:
    1 、骗子钓鱼拿到 Apple ID 密码。
    2 、骗子把自己帐号加入 op 家人的家庭组。
    2 、恰巧该 op 家人 Apple ID 绑定了有效支付方式(支付宝),且开通共享支付方式。
    3 、骗子 App Store 内购盗刷成功。
    liaixiao
        6
    liaixiao  
       22 天前
    我都是消费完毕就解除支付方式来着,苹果的安全性做的很烂。
    ThomasKim
        7
    ThomasKim  
       22 天前
    所以说,只要自己的 Apple ID 的账号和密码不泄露是不是就没事儿了?
    Granthese
        8
    Granthese  
       22 天前
    槽点太多了,又是共享支付方式,又是开免密支付,又是自己主动交出账号密码,双重验证都拦不住主动送钱😅
    leega0
        9
    leega0  
    OP
       22 天前
    @tangyujing99 共享支付默认没有开启,应该是骗子拿到账户后操作的,
    leega0
        10
    leega0  
    OP
       22 天前
    @Granthese 没有开启共享支付,默认关闭,我看了下开启共享支付在手机端开启至少需要两步,家里人肯定不会操作这个
    twinsdestiny
        11
    twinsdestiny  
       22 天前
    骗子沉迷米哈游游戏,这辈子有了
    leega0
        12
    leega0  
    OP
       22 天前
    楼上有人说主动开启共享支付的情况我认为应该不存在,肯定是输入账户后骗子那边操作的,手机端要操作这两步,对家里人来说难度太大,步骤太多,首先要进入 iCloud 管理,然后是下图两步,我怕她都看不明白,怎么会去主动开。

    rshun
        13
    rshun  
       22 天前
    客观的说,Apple 至少是有部分责任的。(不过你的家人把账户密码交出去,这个。。。)

    主账户添加共享账户,如果由主账户消费的话,至少发个验证码到主账户的手机来确认一下。

    顺便说一句,如果多次充电费的话,是有洗钱的嫌疑的,所以你才会被要求上传材料,这和支付宝没什么关系
    yinmin
        14
    yinmin  
       22 天前   ❤️ 1
    apple 可以退款的: https://support.apple.com/zh-cn/118223
    但是通常一个帐户退 1 次,之后几笔大概率会拒绝,建议申请第一笔退款时选最贵的这笔
    orangy
        15
    orangy  
       22 天前   ❤️ 3
    盗刷真的是很可恶,我也被盗刷过,刚知道被盗刷的时候真的是很担心和害怕。幸运的是你是绑定的信用卡,就真的还能救。
    立马联系银行,银行那边对于这种交易会很好地处理。
    首先,确认不是家里小孩或者亲戚朋友的误充(有些家庭成员可能不知道是主账户付款)。
    然后,报警(银行可能会要求报警回执,以佐证不是你本人消费,因为一般人不敢报假警)。
    最后,向银行提供非本人消费的相关说明(只需说明而非证据,如果有证据当然更好)。
    接下来耐心等待银行的处理结果就好。
    银行一般会先冻结你的信用卡,一般一个月左右的调查之后,银行会给你撤销消费。至于与支付宝和苹果的拉扯,银行会处理(银行一般会拒绝向他们付款)。

    PS:银行调查期间,即使到了还款日,这几笔费用你也不用还款。

    PPS:建议大家自动扣款都绑定信用卡,储蓄卡一旦被盗刷,银行、支付宝和商家都不一定会 100%处理。而信用卡就不一样,实际上消费的时候银行并没有向商家付款,如果消费者提出异议,银行有权拒绝向商家付款。
    yinmin
        16
    yinmin  
       22 天前
    这个贴很详细的记录了被骗过程 https://www.v2ex.com/t/959041

    我看过这个 app 运行,对于某些用户会要求登录 app ,但是实际操作是启用内置浏览器去登录 apple 网站,然后 apple 网站弹出用户认证,这步极具迷惑性,即使是老手也有可能中招,登录后黑客就拿到了你的 appleid 凭证,可以操作你的 apple 帐户了。

    支付宝里,设置 -> 支付设置 -> 免密支付/自动扣款 -> App Store & Apple Music 可以设置每月限额,一般设置小几百元,能挡一下。
    leega0
        17
    leega0  
    OP
       22 天前
    @yinmin #14 这个地址早上第一时间就试了,似乎是看不到共享账户的消费
    tangyujing99
        18
    tangyujing99  
       22 天前
    骗子拿到帐号密码再打开共享支付就不难了。
    甚至严重一些把你手上的设备设为丢失状态再对家人勒索也不是没可能。
    主责还是家人的反诈意识不够。

    延伸讨论:
    我也认为苹果的家庭组的共享支付方式其实很不精细,能区分共享儿童帐号,成年人帐号就很好。而且现有的描述也是晦涩难懂。
    leega0
        19
    leega0  
    OP
       22 天前
    @orangy 非常感谢,中午的时候已经打了电话冻结信用卡,目前也打算报警
    punish19
        20
    punish19  
       22 天前
    这种报警没用,警察内部会归类为“浪费警力”,所以不用春风吹都又双叒叕生
    leega0
        21
    leega0  
    OP
       22 天前
    @tangyujing99 #18 是的,刚刚发现在双重认证里面添加了境外号码,等于这个账户下的苹果设备他都有权限,没有把设备设为丢失跟改密码已经算欣慰了一点
    realpg
        22
    realpg  
       22 天前
    @leega0 #21
    建议你把输密码的人电话设置为丢失,不让他长长记性下次给你整个更大的活
    leega0
        23
    leega0  
    OP
       22 天前
    另外,给大家看看这种钓鱼短信,我想不通这种网址一看就不对,还能被骗,欲哭无泪。
    yinmin
        24
    yinmin  
       22 天前
    @leega0 #17 用被盗账号登录(非扣款账号),然后就能选到消费记录了。你有一笔 648 元,第一笔选金额最高的,大概率这笔能退回来。
    billowssun123
        25
    billowssun123  
       22 天前
    上次我朋友用我的 apple id 登录,我的 id 也是绑定的支付宝,居然可以直接购买软件的会员,不过他也不懂,误打误撞就开通了,后面我觉得这个太危险了,直接把支付宝绑定删除了,更换成银行卡,会有二次验证。
    SenLief
        26
    SenLief  
       22 天前
    这和免密支付没啥关系,就是人太傻了而已,这类绑定属于快捷支付,你就算绑定的是银行卡,难道你付款的时候还需要去银行确认吗?

    apple id 和密码被盗,如果硬要说有责任,应该是苹果的风控有问题,不知道异地登陆的时候有没有触发验证。
    leega0
        27
    leega0  
    OP
       22 天前
    @yinmin #24 扣款账户就是被盗刷的账户(苹果所说的组织者),登录后为空,那个账单消费账户是骗子的账户(苹果所说的家人),苹果说账单发送到家人组织者,邮箱里面也没有,这就很神奇了。
    leega0
        28
    leega0  
    OP
       22 天前
    @SenLief 缘由肯定还是人太傻被骗输入了账户密码,这个没法辩解,不过苹果在付款风这块确实没啥风控可言,家庭账户第一天加入就马上消费,至少发个短信确认一下吧,日常订阅在到期日前扣款还会发个邮件提醒呢
    kyor0
        29
    kyor0  
       22 天前
    106 开头的短信全部屏蔽
    lqcc
        30
    lqcc  
       22 天前
    你老婆的手机买 app ,以前是如何扣款的?
    SenLief
        31
    SenLief  
       22 天前
    @leega0 这个家庭的挺有毒的,我估计是当初设计的时候就没想过不是一家人用的这种情况,而如果是一家人似乎确实验证不验证的意义也不大。
    leega0
        32
    leega0  
    OP
       22 天前
    @lqcc 以前没有消费过,因为是新注册的 apple id ,即使下载免费软件也要选择一个支付方式,选了最简单的支付宝
    54xavier
        33
    54xavier  
       22 天前
    这时候是不是该给垃圾短信过滤 app 打个小广告,至少 app 先行过滤一波垃圾、骚扰、诈骗短信
    docx
        34
    docx  
       22 天前 via iPhone
    @leega0 #23 应该投诉这个 106 端口,随便用 Apple 的签名发假冒网址
    mooyo
        35
    mooyo  
       22 天前
    分个锅的话,这次还真怪不到支付宝,在支付宝那边看 APPLE 是一个信誉很好不会乱搞的商家。

    苹果这个家庭共享支付的逻辑我之前没使用过,看上面的回复感觉是苹果这边的锅大一点。
    leega0
        36
    leega0  
    OP
       22 天前
    @mooyo 所以没有主要找支付宝,只是抱怨了一下,毕竟自己绑定的还同意了协议
    mooyo
        37
    mooyo  
       22 天前
    @leega0 #36 你先报个案呢,然后让警方给你个报案回执,再去苹果那边申请退款,上传回执给他们审核一下。
    mooyo
        38
    mooyo  
       22 天前
    @mooyo #37 理论上如果没超过 apple 的结算周期,钱还在他们这边,如果给你退款对他们理论上也是无损的。
    leega0
        39
    leega0  
    OP
       22 天前
    @mooyo 信用卡也还没入账,目前冻结中,已经报案了,让去开户行所辖派出所登记,晚点就去。
    dode
        40
    dode  
       22 天前
    苹果退款政策还是更加友好的,加油
    Ccf
        41
    Ccf  
       22 天前
    跟苹果官方沟通一下,加强支付宝的安全验证
    leega0
        42
    leega0  
    OP
       22 天前 via iPhone
    @Ccf 估计没用,这个盗刷事件从 18 年到现在至少上万件了,排除自己充错的,涉案金额也不小,苹果不改,支付宝不会瞎限制影响更多的正常用户消费。
    Martinez
        43
    Martinez  
       22 天前
    免密支付记得可以设置一天的限额多少...我绑定的微信支付至少是可以的。
    #15 说的直接绑定信用卡真是个好方法,值得借鉴!
    Rrrrrr
        44
    Rrrrrr  
       22 天前
    尼玛,真的无语了。这像普通人能干的事吗?
    djne
        45
    djne  
       22 天前
    家庭账号挺坑的,我的家庭账号之前给家里老人加了个账号,为了防止他们乱付费我给他们选了个 12 岁。现在不用这个账号了但我移除不了这个账号(因为是儿童),家庭解散不了(因为有儿童),儿童账号密码忘了找回不了恢复码无效,绑定的支付宝解约不了(因为家庭账号必须要有一个支付方式),支付宝那也解不了。后来我支付宝找人工,强行单向解绑,代价是以后苹果账号都绑不了支付宝了,我一点没考虑就同意了,这垃圾家庭账号以后不想再碰了。
    noyidoit
        46
    noyidoit  
       22 天前
    @twinsdestiny 这种不太可能是充自己号,更可能是走闲鱼低价代充
    leega0
        47
    leega0  
    OP
       22 天前 via iPhone
    @djne 反正我觉得苹果这块做的不咋完善,让骗子钻了漏洞,不然拿到 apple id 权限除了锁机勒索没有什么太大利益驱使骗子各种发钓鱼链接。
    xuanjiangsara
        48
    xuanjiangsara  
       22 天前 via iPhone   ❤️ 1
    @djne 哈哈哈,这个死循环听起来莫名搞笑老了。
    uuhhme
        49
    uuhhme  
       22 天前 via iPhone
    设置限额吧,安全一点。比如每个月最多多少,支付宝那里可以设置。也可以弄礼品卡充值,不用支付宝
    xiaoxixi
        50
    xiaoxixi  
       22 天前
    建议小红书去找找看退款的帖子学一下,因为那边被骗的更多
    Pastech
        51
    Pastech  
       22 天前
    小绿书上还有人分享了个案例,差不多也算是 App Store 盗刷。
    在 Safari 里面点了一个几分钱还是几毛钱购买几天会员的链接,然后跳转到支付宝的绑定 App Store 界面。结果谁能想到绑定的竟然是骗子的苹果账号,骗子就一次大几百地消费了好几单。
    cskeleton
        52
    cskeleton  
       22 天前
    看起来“不是银行卡啥的就没注意”这个“银行卡”概念要推广到所有能直接银行卡快捷支付的情形。

    其实我不太理解支付宝的免密支付,毕竟现在生物识别的支付方式已经很便捷了,免密支付并没有省事太多。从用户角度来说,几乎没好处的事情。
    yvkino
        53
    yvkino  
       22 天前
    这种情况支付宝的账户险能赔吗
    leega0
        54
    leega0  
    OP
       22 天前 via iPhone
    @yvkino 以前能赔,现在不能赔了,已经写了免责且不可勾选免密支付的交易记录。
    lqcc
        55
    lqcc  
       21 天前
    我有个问题:作为家庭帐号发起人,我是可以设置购买项目共享的,里面可以设置支付方式共享。那作为家庭帐号参与者,他的手机也能选择我的支付方式作为支付手段吗?难道不用我这边确认吗?
    leega0
        56
    leega0  
    OP
       21 天前 via iPhone
    @lqcc 回答正确,没有任何二次确认,只要被开启了共享支付,参与者就可以直接购买充值
    leega0
        57
    leega0  
    OP
       21 天前
    更新:我去看了钓鱼网站,除了域名,做的还是有点逼真的,带 https ,忘记密码还能调用官方验证,这一般人还真难分辨。

    214L
        58
    214L  
       20 天前
    我也搞不懂苹果家庭账户的支付逻辑。我的家庭成员的消费必须通过我的验证码……
    是因为我没开支付宝免密?
    leega0
        59
    leega0  
    OP
       20 天前 via iPhone
    @214L 一切缘由都是免密支付引起的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5823 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 03:39 · PVG 11:39 · LAX 19:39 · JFK 22:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.