登录
家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒
 |
1 unafraid7580 20 小时 39 分钟前 via Android闻所未闻,骗子手段咋这么高明 |
|
2 jaTomn 20 小时 36 分钟前蹲一波后续 |
|
3 xinh 20 小时 26 分钟前 via iPhone添加双重验证号码过程是怎么样的呢 |
|
4 yyzh 20 小时 26 分钟前 via Android 2 这都能躲过审核的么 |
|
5 shinsekai 20 小时 25 分钟前不需要丈母娘输入验证码。双重认证的弹窗中应该已经包含验证码。如果此时 app 进行自动截屏,识别,在后台登录成功后验证码弹窗会自动关闭。 |
|
6 tediorelee 20 小时 20 分钟前这手段厉害 |
|
7 smlcgx 20 小时 14 分钟前 via iPhone是不是骗子添加了其他设备用于验证码显示? |
|
8 qzydustin 20 小时 13 分钟前 13 如果事情真是这样,AppStore 有很大漏洞,应该需要苹果负责 |
|
12 bobryjosin 20 小时 3 分钟前有可能就是主动给验证码了至于方法就不知道了,可能是短信不一定是双重验证弹窗,iPhone 正常在 apple id 添加添加验证号码会需要输入 iPhone 的锁屏密码,但是网页不需要,给了密码和验证码可以直接改,不过我绑定的是物理安全密钥,两把都在我这边,其他地方登陆只能拿物理密钥 2fa 才行,这样的话盗取难度就大了吧。 |
|
13 airycanon 19 小时 59 分钟前@bobryjosin 大佬的意思是,在网页端,只要有账号密码,就能添加信任号码么,但是按我的理解,即使有账号密码,也是要登录的,登录就会触发双重认证。
|
|
14 airycanon 19 小时 58 分钟前@bobryjosin 不好意思,理解有误,忽略我的问题。
|
|
15 HUZHUANGZHUANG 19 小时 58 分钟前 2 我也觉得苹果退款很恶心.貌似就第一次给退,后续就会直接拒绝 |
|
17 dearmymy 19 小时 45 分钟前“有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。”现在主要这一步。我个人感觉是老年人一时糊涂被 app 诱导输入了验证码。她现在脑子自我保护意识,让她认为她没输入。开了双重,任何其他新设备登录肯定会触发双重得。还有种可能,只有账户密码看看能不能单独登录 icloud 邮箱。你看看你 icloud 邮箱有没有什么特殊邮件。
在有你说下但是设备 ios 得版本。 |
|
19 zhouweiluan 19 小时 41 分钟前 14 这钓鱼 App 能被上架到 App Store... Apple 重大责任 |
|
20 swulling 19 小时 37 分钟前双重认证可以选择发短信,如果具备短信读取权限的话是没问题的。 |
|
23 ZRS 19 小时 32 分钟前双重认证就是通过可信设备/渠道进行认证,你这设备用于在应用中登陆 apple id ,本身就是可信设备了,自然不需要其他设备或渠道进行认证。 |
|
25 ZRS 19 小时 31 分钟前哦确实在攻击者登陆时的验证问题没得到合理解释,截图也应该是拿不到验证码弹窗的 |
|
26 ZRS 19 小时 30 分钟前感觉还是被诱导进行了什么操作,比如共享屏幕操作实际是骗取验证短信等 |
|
28 forgottencoast 19 小时 18 分钟前 2 AppLeID ,这是不是为了骗过审核? |
|
29 AppJun 19 小时 11 分钟前截屏应该是截不到系统弹窗的。不然这个漏洞太大了。
估计你输入正确的密码之后,有额外的诱导二次验证信息的登记入口。 |
|
30 mineralsalt 19 小时 10 分钟前我手机上也有个 “菜谱大全” , 应该不是你这个吧, 之前学做菜下载的 |
|
31 Danswerme 18 小时 33 分钟前这能过苹果审核? |
|
32 delpo 18 小时 26 分钟前 3 App"L"eID请输入您的 ID 密码用于登"陆"
这是为了能过审还是因为根本没下功夫设计? |
|
33 terence4444 17 小时 52 分钟前 via iPhone可能是通过 iMessage forward 短消息拿到的? |
|
35 dingdangnao 17 小时 20 分钟前 via iPhone 1 而且 家庭成员第一次在 App Store 消费是需要家庭管理员短信验证码的啊 |
|
36 WuSiYu 16 小时 4 分钟前 4 这种应用能进入 apple store 明显是苹果审核有很大的过失,往大了可以说影响到“苹果生态封闭所以安全”这个认知 |
|
37 zdgan 13 小时 19 分钟前 via Android我觉得苹果好恶心,我的账号也拿不回来,还每年扣我 apple music 的钱,无论怎么申诉审核都不行,还一直弹窗要我输入账号密码,10 几年果粉从此弃坑。我自己的账号,我可以提供手机验证码,邮箱验证码,这还要审核两周,每次审核还不通过,我真服了 |
|
38 laydown 12 小时 56 分钟前你丈母娘是不是还另外做了一些别的动作,但忘记了呢。
双重认证是挺傻的,但如果自己不提供验证码给对方,或者点批准登录设备,对方也无法做什么事情的。 |
|
39 tin3w5 11 小时 38 分钟前 via iPhone上了岁数的人和不打技术的人都有一个共同段习惯——无论什么弹窗都会图省事,随便点一下,不行再点另一个。所以不排除她忘记了。 |
|
40 job32 10 小时 22 分钟前盗号者在自己的 iphone 登录你丈母娘的 apple ID ,需要输入丈母娘手机上 apple ID 的验证码。没有授权是没办法登录的,知道账号和密码也没用。 |
|
41 airbotgo 10 小时 1 分钟前 2 对于缺乏基本安全知识的长辈,最合适的做法是,重要账号要么不登录,要么密码自己掌握,需要装什么自己亲自操作。你跟他们讲相关知识,对双方都是痛苦,不如简单化。补充一个实例:
媳妇是安全小白,有一次 iPhone 在外面被偷了,我提醒她说,不要打开任何可疑的苹果短信、邮件链接。结果她还是点了钓鱼邮件链接,她的理由是邮件里面有苹果 logo……结果当然就是丢失的 iPhone 被解除了账号锁。 |
|
42 bianhui 9 小时 45 分钟前没在手机上同意登陆是不可能登录上账号的。所以肯定是丈母娘点了。建议没收长辈的 appleid ,如果有 app 下载需求,你给他们下就行了。 |
|
43 KiseXu 9 小时 40 分钟前苹果客服挺恶心的,去年我给炉石充值,重复付款了 2 次,只有一笔到账了,实际扣款了 2 次。给苹果客服打了 N 个电话,都是说没法核实,无法退款(惊呆)。最后到 12315 网站投诉,第二天就把钱退我了。 |
|
44 allinschroe 9 小时 39 分钟前@dearmymy 自己测试了下,截屏可以截取到双重验证的弹窗,截屏也不需要屏幕录制权限
|
|
45 RanKaede 9 小时 37 分钟前可怕,苹果官方商店居然上架这种 app ,甚至出事情了一点保障都没。 |
|
46 V392920 9 小时 32 分钟前@allinschroe 我擦,这属于漏洞了吧?App 内部截系统级弹窗,还不需要权限
|
|
47 zhongjun96 9 小时 29 分钟前@delpo #32 好像应用里有 Apple 字眼的话要单独声明,与 Apple 公司无关。用 `App"L"eID` 应该是为了规避这个
|
|
48 CommandZi 9 小时 28 分钟前 |
|
49 0ranger 9 小时 18 分钟前有没有这个 app 的链接? |
|
50 fnmgzbv2 9 小时 11 分钟前 via iPhone脑波变弱时,最容易受骗… |
|
51 mm163 9 小时 6 分钟前什么都实名都会员的结果,买个菜买个早点都推销会员,草。 |
|
52 yyf1234 9 小时 5 分钟前 via iPhone楼上说截屏的是认真的吗? app 能自己调用截屏? |
|
53 mm163 9 小时 3 分钟前实名制之前,这类 app 要求登录就非常不正常了。 |
|
54 Jiajin 8 小时 55 分钟前@allinschroe 通过代码可以吗?自己手动截可能可以,代码应该不行吧
|
|
56 oppoic 8 小时 47 分钟前 2  这个框判断真伪最好的防范就是:返回桌面APP 内伪造的能返回桌面,苹果的弹框回不了桌面 |
|
57 TerryRobles 8 小时 40 分钟前@zdgan 账号被盗了,然后还绑定着你的支付?appleID 拿不回来正常,支付端那边的免密支付没有想着取消吗?
apple Music 价格挺高的 |
|
58 cexgwent 8 小时 38 分钟前好可怕,蹲后续 |
|
61 TerryRobles 8 小时 33 分钟前验证码什么的应该也是钓鱼第一个弹窗出现要求输入账号密码然后同步进行登录
第二个弹窗出现要求输入验证码 |
|
62 TerryRobles 8 小时 27 分钟前丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。按照你的说法,不绑定个支付不行了。ID 绑个信用卡吧,然后限制日限额
信用卡用你的,这样银行的短信也是发到你的手机上 |
|
64 wulili 8 小时 25 分钟前AppLeID 。。。这钓鱼者细节没做到位呀。。 |
|
66 296727 8 小时 20 分钟前你丈母娘可能做了一些操作,然后没和你说,但是他没有骗你,因为他大脑中遗忘了这一部分 |
|
67 voyagefar 8 小时 6 分钟前感谢分享 |
|
68 miniliuke 8 小时 3 分钟前@zhongjun96 笑死了苹果审核 APP 的都是机器人?
|
|
69 TAFMT 8 小时 2 分钟前涨知识了 |
|
70 icepic 7 小时 57 分钟前 via Android这个就离谱了…
Apple ID 如果不绑定支付是不是好一点? |
|
71 fnyael 7 小时 50 分钟前 via iPhone这 app 多半也不是在 Apple Store 里下的 |
|
72 bGl2aWRubXNs 7 小时 47 分钟前我靠 这完全 apple 的锅,这种弹窗都能过审??? |
|
73 dididi9527 7 小时 41 分钟前 1 涨见识了,这弹窗要是我也可能不小心输密码进去了,因为真苹果也老是闲着没事让你输密码,看来以后还是得先关注这个弹窗是不是真的才输。
另外通过苹果账号登录这是苹果后期强制 app 提供的登录方式,没想到反倒在这里变成泄露账号名的方式。 |
|
74 Gadmin 7 小时 40 分钟前 |
|
76 AppJun 7 小时 28 分钟前 |
|
77 dier 7 小时 18 分钟前看了一下这个软件的评论,从 2 月份就有人说是一直要 AppleID 密码,这不得举报让他下架吗 |
|
78 bugmakerxs 7 小时 9 分钟前防不胜防。。 |
|
79 irainsoft 6 小时 50 分钟前这个算是比较难分别的钓鱼了,模仿苹果系统界面+要求用户输入 iCloud 密码,苹果居然能让这样的应用上架我觉得有责任的。
有一个问题是“他会把自己的号码,加入双重认证的信任号码中”这一步是 iOS 手机应用能靠自己权限完成的? |
|
80 tyhunter 6 小时 46 分钟前看起来好像骗子钓鱼拿到了账户密码,并且把小号加入了家庭共享里面,然后通过购买 app store 里的虚拟产品从而套现(苹果中间还会收 30%的抽成)首先建议把这个软件的链接发出来大家一起举报了
其次是不是老年人手机上不绑支付方式或者设置日限额能更好的避免? |
|
81 lingaoyi 6 小时 39 分钟前 via iPhone什么 app 菜谱大全我下载没有提示啊…… |
|
82 vokins 6 小时 36 分钟前 via iPhone1.检查一下把她所有免密支付渠道全部关闭,包括不限于饿了么美团拼多多抖音等 2.打开屏幕使用时间,内容与隐私限制,全部不允许,始终需要密码 |
|
83 FPL 6 小时 31 分钟前 via iPhone那个 app 链接可以发出来吗? AppStore 里面好多菜谱大全,看了一圈也没看到你说的那个,方便的话可以发出来看看吗? |
|
84 chuck1in 6 小时 24 分钟前一直觉得 ios 很安全啊,竟然有这种问题?还是在 appstore 下载的? |
|
85 IamUNICODE 6 小时 15 分钟前闻所未闻,先做个记号,待会仔细看 |
|
86 louistayd2 5 小时 45 分钟前iCloud 购买项目共享关掉。如果最后苹果不退款我感觉可以起诉的,app 非法了吧,App Store 应该有义务审核到吧 |
|
87 GHvyuR7N 5 小时 38 分钟前 via iPhone 1 文章非常工整,但是没有第一时间曝光 App 的下载链接,这让人非常困惑。 |
|
88 qzydustin 5 小时 32 分钟前最好的解决方式是复现恶意软件的过程,然后联系苹果客服,或者联系科技区 Up 主等公众人物。然后就等赔偿了 |
|
89 Archeb 5 小时 31 分钟前 via iPhone 20 我知道这个 app 是怎么做到的了
首先你观察图 1 的登录界面,登录的是 appleid.apple.com ,证明这里应该是有一个 in app 的 webview 打开了这个页面。然后你直接就用手机本身登录上去了(因为是本机鉴权,所以不需要 2fa ) 然后第二步,骗取密码,然后 app 自动操作 webview 添加受信任手机号,这一步只需要密码即可。
所以你得丈母娘说没有弹出 2fa ,这应该是真的,因为整个流程确实不需要 2fa |
|
90 Chengnan049 5 小时 19 分钟前 1 目前帖子较多,特地总结一下,感谢各位大佬的回复,无须对本楼进行点赞,对原楼点赞即可
47 楼 @zhongjun96:“好像应用里有 Apple 字眼的话要单独声明,与 Apple 公司无关。用 `App"L"eID` 应该是为了规避这个”我个人补充:这种弹窗能过审核真的是 6 了,Apple 软件开发最烦恼的就是商店审核;“登陆”的说法是错误的,正确说法是“登录” 77 楼 @dier:“看了一下这个软件的评论,从 2 月份就有人说是一直要 AppleID 密码” 56 楼 @oppoic:“”这个框判断真伪最好的防范就是:返回桌面,APP 内伪造的能返回桌面,苹果的弹框回不了桌面 59 楼 @wydinhk:“注意图 1:通过 Apple ID 登录 appleid.apple.com ,而不是登录 “菜谱大全”” 89 楼 @Archeb 破案:应用是用了 In App WebView 打开了页面因为是本机鉴权,因此不需要 2FA ,骗取密码后自动操作并添加信任手机号码,只需要密码即可,整个过程不需要 2FA 41 楼 @airbotgo:“媳妇是安全小白,有一次 iPhone 在外面被偷了,我提醒她说,不要打开任何可疑的苹果短信、邮件链接。结果她还是点了钓鱼邮件链接,她的理由是邮件里面有苹果 logo…… 结果当然就是丢失的 iPhone 被解除了账号锁。” 43 楼:“苹果客服挺恶心的,去年我给炉石充值,重复付款了 2 次,只有一笔到账了,实际扣款了 2 次。给苹果客服打了 N 个电话,都是说没法核实,无法退款(惊呆)。最后到 12315 网站投诉,第二天就把钱退我了。” |
|
91 iijboom 5 小时 17 分钟前果粉家人们有福了 |
|
92 Ja22 5 小时 17 分钟前apple 拒绝退款的理由是啥 |
|
93 airycanon 5 小时 15 分钟前 |
|
94 Chengnan049 5 小时 9 分钟前 via Android |
