V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Lynnnn
V2EX  ›  Apple

如果已开启双重认证, Apple ID 是否仍能被盗刷?

  •  
  •   Lynnnn · 2018-10-06 20:00:38 +08:00 · 4145 次点击
    这是一个创建于 2242 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天刷到一个 8 月份的虎扑帖子,链接: https://bbs.hupu.com/23232363.html

    标题写得是支付宝被盗刷,点进去看内容,是 Apple ID 被盗刷充值了游戏。
    里面比较值得注意的,就是发帖者说”我老婆苹果账号开启了双重认证,但是另一个认证的设备不是我们的设备,还有一个尾号也不是我们手机的号码“。但关于是否有弹出过设备登陆提示等其它细节并没有讲。

    常见 Apple ID 被盗多数都是未开启双重认证 /两步验证、被绑定家庭组之类的,像这样已经开启还被盗刷的倒是第一次听说(当然也可能我误解了帖子的意思...)。一般解决方案就是取消免密支付或者设置限额。

    我是想请教一下,如果上述发帖者真的是开启双重认证后仍被盗刷,这个实现原理是什么?这个和伪基站+中间人攻击应该没什么关系吧?又不是短信...
    4 条回复    2018-10-07 16:48:44 +08:00
    imn1
        1
    imn1  
       2018-10-06 20:39:08 +08:00
    我猜原帖漏了个「被」字,是她原来没双重验证,却被别人加了双重验证
    jjxtrotter
        2
    jjxtrotter  
       2018-10-07 09:31:44 +08:00
    原帖中,

    “ 1,我老婆苹果账号开启了双重认证,但是另一个认证的设备不是我们的设备,还有一个尾号也不是我们手机的号码,我刻意没让验证码发到那些设备过去,以防被骗”

    认证的设备不是他的,手机号也不是他的,这个重大疑点竟然没有细说???
    如果是在盗刷之前发现的,为什么不提高警惕查明什么情况?
    如果是在盗刷之后发现的,为什么不从账户中移除?

    另外,应该是只要是登陆了 iCloud 的设备都是信任设备,无法单独控制双重认证的验证码发送到哪个设备,不知道“刻意没让验证码发到那些设备过去,以防被骗”是怎么操作的?
    bao3
        3
    bao3  
       2018-10-07 12:03:26 +08:00 via iPhone
    故事多半是编的,因为苹果设备登陆一定要双重验证或者短信单独验证,而且仅 apple pay 与 ID 绑定,而且 apple pay 仅保留虚拟卡号,在陌生设备登陆一样需要走银联的验证。
    总之,那个新闻要么说谎来夸大这个事情,赢取关注度,逼迫警察重视,要么就是编的,虚幻
    liaoyaoheng
        4
    liaoyaoheng  
       2018-10-07 16:48:44 +08:00
    故事很多地方有矛盾,ios 只要不越狱,不搞什么破解。找出的漏洞的奖励应该比你损失。 @bao3

    分析的很大的可能是:
    事主之前没开几重验证,事主以前绑定了支付宝免密扣款,appleid 账号泄露或被撞库,或 id 绑定的邮箱被破,直接在其他设备登陆,进行购买盗刷。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3340 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 12:15 · PVG 20:15 · LAX 04:15 · JFK 07:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.