记者查看苹果支付宝免密支付操作,授权信息说明模糊。车佳楠摄
“苹果设备和支付平台串通一气,设置支付陷阱,从8月份开始数百人被盗刷了上千元,竟然还无法退款!”近日,来自全国各地的苹果手机用户频频致电上海市民服务热线12345,投诉自己的苹果ID账号被盗号,绑定的相应支付平台被用于扣款,最高损失已达上万元,而位于上海的苹果中国公司对被盗刷用户提出的退款申诉表示无法操作。
盗刷是如何发生的?如何预防?记者采访了几位受害者和网络安全专家。
眼睁睁被盗刷3笔无计可施
9月24日22时10分,武汉刘女士像往常一样拿起自己的iPhone6 Plus,发现屏幕中出现支付宝通知弹窗,显示于22时09分在App Store&Apple Music成功付款1000元;几秒钟后,又来了条通知,同样显示其付款1000元。1分钟后,支付宝告知其“成功关闭Apple,and GCBD for iCloud的App Store,Apple Music,&iCloud由云上贵州运营服务。”
眼睁睁地看着自己的账户接连被扣除1000元,又自动关闭了一项苹果服务,刘女士慌了神:“到底发生了啥?”
随后,她点击“设置”中的“iTunes Store与 App Store”,查看自己的 Apple ID,选择“购买记录”,查看近90天内的购买记录,结果令刘女士大惊失色,当天的购买记录显示,她为Apple ID“充值”了 3笔费用,分别是1000元、1000元和100元。同时,她还为一款名叫“魔域口袋版”的游戏“购买”了 3笔价值648元的“魔石”,另购买了一款名为“传奇世界”游戏价值45元和98元的“元宝”,状态都是“待付款”,几分钟后都变成了“已完成”。“这些游戏,我闻所未闻,更别提下载了。”刘女士很困惑。
苹果ID都是用户邮箱,登录、付款等操作状态及变动都会通过邮件告知用户。刘女士立即打开邮箱,发现苹果公司于当天22时06分发来一份“操作提醒”邮件,显示她的这个QQ邮箱(即苹果 ID)被用于在iPhone6上登录了iCloud。但刘女士仅有一台苹果设备,就是iPhone6 Plus,她当即觉得自己“被盗号了”。
刘女士绑定苹果ID的付款方式为支付宝,于是她打开支付宝,查找扣款流程,发现发生的扣费先是用了支付宝零钱,不够扣就自动转为花呗支付。“平时用支付宝都是使用密码或指纹,盗刷者是怎么扣除费用的呢?”
在和其他受害者交流中,刘女士意识到此前支付宝通知当中有过“关闭某项服务”的提醒,其实就是关闭免密支付功能,但她怎么也记不起自己什么时候开通过这项服务,更没有使用过。她怀疑可能是自己的信息遭泄露,被不法分子利用。她前后联系苹果客服“4006668800”8次,但对方除了表示“同情”,就是在提交系统审核后告知其无法退款,没有理由。刘女士转而向上海消费者保护委员会请求协助申诉,但苹果方面回复刘女士的结果,依然是“系统判定无法退款”。
9月成盗刷高峰
受害者通过微博搜到两个“苹果ID被刷处理”的QQ群,每个群的成员数量已达三四百人,两个群加起来在700人以上。群成员几乎都在9月份发生了被盗刷状况,累计被盗刷金额从几百到上万元不等。有些人寻求过警方帮助,但最终只能自己与苹果公司交涉。
记者登录苹果手机账户,发现绑定的支付宝账户下方有一行“如需重新绑定请轻点此处”的选项,但点击跳转后,显示的界面为“同意免密扣款授权协议并开通”,为何重新绑定账户变成了同意免费扣款?记者查看支付宝免密扣款的协议内容,从头到尾未看到扣款的频次和额度范围。不加粗的内容当中,提到“支付宝会对您选择的不同扣款渠道的付款额度做出不同的控制,日付款授权额度及日授权次数,均以支付宝向您具体公告的为准。若超过该限额的话,将会扣款失败,无法完成支付”。
如何控制付款额度?授权额度和次数默认又是多少?公告又在哪里?不少受害者表示不清楚。
而支付宝如此介绍免密支付功能:苹果设备上充值视频网站VIP会员、购买游戏道具或其他付费项目时,将通过支付宝自动完成支付。这些功能与受害者们的经历颇为重合,比如,被盗刷的付费项目多用于名不见经传的游戏充值,或者受害者此前使用过免密支付/自动扣款的订阅服务。
从实际损失看,盗刷者的单次盗刷金额不会超过2000元,极有可能是盗刷者利用免密支付漏洞,通过单次额度内多次扣费进行盗刷。