支付宝已发出风险提示苹果公司尚未确定原因
10月8日上午,苹果手机用户刘女士收到4条短信,短信内容显示其在App Store & Apple Music成功付款,共计976元。刘女士非常纳闷,自己没有操作手机,怎么会在App Store上消费呢?刘女士致电苹果客服询问情况,却被告知需要等待处理结果。
虽然Apple ID被盗刷的事件时有发生,不过自从今年9月以来,这类事件处于高发期,据悉被盗刷用户已超700人。
同时,针对Apple ID被盗刷这一现象,支付宝也于10月10日凌晨发布安全提示,提醒支付宝用户调低苹果支付的免密支付额度。
两分钟内被盗刷18次
10月5日,重庆用户李义的iPhone 8手机上收到一封来自苹果公司发来的邮件,邮件显示“刚刚有人使用你的Apple ID购买了《王者荣耀》中的内容。”李义赶紧打开自己的苹果手机查看情况,发现Apple ID果真被购买了9笔游戏《王者荣耀》的点券,共计3150元。苹果公司发来的邮件显示,“此操作是在一台从未使用过的电脑或设备上进行的。”由于李义的苹果ID绑定了微信免密支付,眼看情况不对,他第一时间解绑了微信支付,并与苹果客服进行了联系。
无独有偶,10月8日下午,广东汕头姚女士的iPhone 7 Plus收到了支付宝发来8笔消费信息,显示分别消费了7笔50元和1笔598元用于App Store&Apple Music的交易。姚女士连忙打开支付宝付款记录,发现这笔消费记录正来自于自己的苹果账户。正在迟疑之时,刘女士发现自己支付宝正在不断地向自己发来付款成功的信息,短短两分钟,自己的余额宝和花呗支付竟被刷了18笔,共计4962元。
超过700人被盗刷
据《IT时报》记者了解,目前Apple ID被盗刷的人数已经超过700人,成功拿回退款的人不多。
在发现自己账户被盗刷了之后,李义在第一时间致电了苹果客服。苹果客服对李义的情况进行了记录,并表示需要交由系统进行审核。不久之后,李义收到了苹果公司iTunes Store 客户支持部门发来的邮件,邮件显示“案例在经过审核之后,依然无法撤销账号中未经授权交易的相关费用”。李义非常气愤,再次拨打了苹果的客服电话。苹果客服并未说明具体原因,而是称需要转到公司内部的最高权限进行处理。
现在,李义加入了2个Apple ID被盗刷的维权群。“我们已经建了2个QQ群,1群只能加500个人,现在已经加满了,2群还有很多人正在不断地加进来。除了QQ群,还有微信群。”
相比李义,刘女士则幸运得多,现在她收到了苹果公司发来可以退款的邮件。邮件中显示“针对相关购买项目发放了退款”且这笔退款将在十个工作日内计入用于购买此项目的付款方式中。不过,目前苹果公司也停用了刘女士的账户,理由是防止日后出现未经授权的交易。
对于苹果账户盗刷的原因,目前苹果方面暂未做出回应。在位于上海环球港的苹果零售店内,技术人员对《IT时报》记者称:“我们也不知道是什么情况。”10月10日,记者就Apple ID账号被盗刷一事咨询苹果公司客服,对方称由于涉及个人隐私问题,建议用户通过报告问题网站和客服电话向相关部门进行反馈。
未开通二次认证风险大增
对于苹果用户被盗刷的现象,360企业安全集团移动安全事业部总经理段继平认为,Apple ID被盗的原因很复杂,如同个人银行卡密码泄露一样,原因多种多样。可能的原因包括Apple ID密码过于简单被人破解,用户在操作手机时被恶意App盗走Apple ID信息等。
“苹果允许一个Apple ID可以在任意的苹果设备上登录,如果用户没有开启二次认证,在用户密码泄露的情况下,用户的Apple ID则可能被不法分子用于登录到其他设备进行盗刷。由于部分网络游戏的账户并不和Apple ID绑定,则导致刷点券的案例发生。”段继平对《IT时报》记者表示。他认为,很多用户并没有意识到打开二次认证的必要性,因此并未打开该安全机制,导致只要用户的Apple ID和密码泄露即可以随意登录任意苹果设备。
打开二次认证,能大幅提升安全性,但段继平也表示,这不能100%确保安全。“如果不法分子同时拿到了用户用于二次认证的账号和密码,苹果的防护机制则会认为登录是合法有效的。所以说,信息安全的攻和防除了机制外,如何使用也是很重要的。”
腾讯电脑管家高级安全专家李铁军则怀疑有大规模撞库、洗号攻击出现。李铁军表示,用户之所以被盗刷基于两个条件,首先是Apple ID没有开通双重验证,致使账号被盗,其次是由于受害用户签约过银行卡、支付宝或者微信的免密自动扣款协议。李铁军推测,“签约免密自动扣款协议是跟Apple ID绑定的,就算换了设备登录,绑定关系依然有效,因此可能资金被盗刷。”
建议用户调低免密支付额度
针对苹果用户被盗刷事件的密集发生,支付宝发布了安全风险提示。
支付宝方面称,在苹果公司没有完全解决问题之前,无论Apple ID绑定了何种支付方式都可能出现资金损失的风险。在确保方便的前提下,苹果用户可以“调低苹果支付的免密支付额度以最大限度保护支付宝账户的资金安全”。目前,支付宝用户可以单独给Apple ID设置免密支付限额,在支付宝App的支付设置中即可设定符合自己安全预期的月度限额。
上海段和段律师事务所合伙人刘春泉律师表示,根据《电子商务法》中第五十七条规定,用户发现安全工具遗失、被盗用或者未经授权的支付的,应当及时通知电子支付服务提供者。同时,“未经授权的支付造成的损失,由电子支付服务提供者承担。电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的,不承担责任。”目前由于Apple ID账户被盗刷的情况原因尚未查明,所以难以对事件当中的相关人员和公司进行定责,刘春泉律师建议用户应当先通过报警、投诉等方式处理相关问题。