V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bootloaders
V2EX  ›  Apple

请教大佬有关 Apple ID 的双重认证的逻辑

  •  1
     
  •   bootloaders · 2023-07-25 13:24:38 +08:00 · 1251 次点击
    这是一个创建于 486 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天本站一个主题讨论了楼主亲戚被钓鱼 app 诈骗,绕过了苹果的双重认证被骗走 1.6 万元的事件,原贴如下: https://www.v2ex.com/t/959041

    梳理整个事件,按照我个人的理解,骗子是这样得手的:

    1. 上传钓鱼 app 到 App store ,通过审核(此时没有上传恶意代码)
    2. 通过热更新将钓鱼代码注入钓鱼 app (食谱软件)
    3. 钓鱼 app 伪造了 webview 的窗口打开了 Apple ID 的登录网页
    4. 受害人被钓鱼 app 诱骗,输入了 Apple ID 和密码(骗子获取到了用户的 ID 和密码)
    5. 骗子通过钓鱼 app 在受害人手机上将自己的电话号码加入了可信任的电话号码中
    6. 骗子将自己的 Apple ID 加入受害人的家庭组
    7. 骗子登录已加入受害人家庭组的 Apple ID ,在 app store 消费了 1.6 万元

    对于步骤 1-5 ,7 没有疑惑之处。让我困惑的是,骗子如何将自己的 Apple ID 加入受害者的家庭组?

    加入家庭组必须要在用户设备上操作。骗子必须在设备上登录受害人的 Apple ID ,才可将自己添加进家庭组。 骗子登录受害者 Apple ID 的操作,在开启双重认证的受害人设备上必将弹出提示,不论是否将自己的号码加入信任的电话号码。

    骗子如何做到在受害人完全没有提示的情况下登录了她的 Apple ID ,并将自己加入家庭组?

    bzcai
        1
    bzcai  
       2023-07-25 14:16:03 +08:00
    我主要没明白第五步是怎么做到的
    bootloaders
        2
    bootloaders  
    OP
       2023-07-25 14:50:00 +08:00   ❤️ 1
    @bzcai
    钓鱼 app 利用 app 内的 webview 打开 apple id 的网页,诱骗受害人本机登录自己 Appleid

    钓鱼 app 含恶意脚本,受害人登录后添加骗子的电话号码
    tangyujing99
        3
    tangyujing99  
       2023-07-25 17:57:47 +08:00
    个人总结几点:
    1 、该骗子(组织)涉案金额应该巨大。恰巧贴主懂行才写出来让大家知道,不被人知道的不知道还有多少。
    2 、受害者 apple id 刚好绑定了银行卡导致被盗刷 1.6w 。绑定各种支付最好还是小额专卡专用。
    3 、即便骗子没盗刷成功,还能勒索,以及远程锁定机器,能恶心一阵机主。
    4 、app store 的审核机制要背大锅。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2393 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 01:03 · PVG 09:03 · LAX 17:03 · JFK 20:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.