V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
airycanon
V2EX  ›  问与答

家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒

  airycanon · 2023-07-23 21:46:37 +08:00 · 53075 次点击
这是一个创建于 514 天前的主题,其中的信息可能已经有所发展或是发生改变。

时间线

7 月 12 晚上发生的事情,

  • 23:33 ,丈母娘的手机突然被抹掉了资料,变成出厂设置的状态。
  • 23:35 ,她拿手机找我给她看看,我以为是苹果系统问题,开始给她重新设置。
  • 23:36 ,在设置的过程中,手机陆续收到了短信通知,我发现其中有银行、支付等字样。
  • 23:37 ,开始意识到事情不太对,赶紧联系银行和微信支付冻结。
  • 23:40 ,等到冻结完毕,已经产生了 20 多笔订单,共计 1.6w 。
  • 23:50 ,报警之后,到社区派出所立案。
  • 01:10 ,立案过程中,我在 Apple Store 的退款渠道提交了退款。

被盗经过

之前一直以为开了双重认证就高枕无忧,经过排查后,基本确定是被钓鱼了:

  • 丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。

  • 7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露,如图

  • 接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招,如图

  • 有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。

  • 登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证,如图

  • 到这一步,他已经掌握了受害者 Apple ID 的所有权限。

  • 接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品,如图

疑问

整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。

尝试退款

我在 Apple 400 客服尝试了多种方式,最终都失败了:

  • reportaproblem.apple.com 页面申请退款,申请后联系客服告知被拒绝。
  • 找负责 App Store 订单的客服,要求升级高级顾问,告知这是最终结果,升级也没有意义,被拒绝。
  • 找负责 Apple ID 的客服,曲线救国,要求查询 Apple ID 被盗的问题,被告知查不到记录。
  • 由负责 Apple ID 的高级顾问转到负责 App Store 订单的高级顾问,和该顾问扯皮了 2 小时,被拒绝。

目前还能尝试的方式:

  • 打 12315 反馈
  • 在工信部违法和不良信息举报中心投诉
  • 起诉苹果
第 1 条附言  ·  2023-07-23 22:34:11 +08:00
补充一下:
抹除设备是为了防止盗号者在支付的时候,受害者微信出现支付通知。
评论区有大佬提到,如果这个 APP 有截屏,可以截到双重认证的弹窗并上传,并不需要 Apple ID 所有者主动提供验证码。
第 2 条附言  ·  2023-07-23 23:05:29 +08:00
这个 App 的权限只有两个:Siri 与搜索,无线数据
第 3 条附言  ·  2023-07-24 11:05:02 +08:00
抓包看了下,app 会访问这个 app.yime888.com ,有没有大佬有兴趣爆破一下。
第 4 条附言  ·  2023-07-24 13:27:35 +08:00
89 楼的大佬,给了一个绕过双重认证的思路,感觉是比较靠谱的。
第 5 条附言  ·  2023-07-24 15:14:46 +08:00
感谢各位大佬,目前差不多搞清楚对方是如何绕过双重认证的:
对方在 App 内置了一个 Webview ,然后访问 appleid.apple.com/sign-in ,这一步系统会出现 Apple ID 的弹窗,如果人脸识别通过了或者输入了正确的密码,这个页面就登录了(可以理解为在内置的 safafi 打开了 Apple ID 的登录页面)。

接下来会出现密码弹窗,受害者输入密码之后,这个 Webview 可以注入一些 js 获取到 Cookie ,然后访问 appleid.apple.com/account/manage ,通过一些自动接收验证码的机制,配合 Cookie 和密码,就可以在受害者 Apple ID 的信任号码中加入他自己的号码,用来接收双重认证的短信。
第 6 条附言  ·  2023-07-25 16:35:06 +08:00
最新情况:
昨天通过工信部提交投诉之后,一个苹果行政关系部的人联系我,说是会帮我处理退款的事,刚刚告知了我处理结果,还是拒绝了,目前只剩下起诉这一条路了。
第 7 条附言  ·  2023-07-27 18:50:28 +08:00
最近情况:苹果刚刚把我家人的所有被盗订单都退款了,但是还没有跟我联系,感谢大家的支持。
385 条回复    2024-04-16 15:23:06 +08:00
1  2  3  4  
dididi9527
    101
dididi9527  
   2023-07-24 13:46:22 +08:00
@GHvyuR7N #87 确实很困惑,不知道为什么不放 app 的链接
Uyloal
    102
Uyloal  
   2023-07-24 13:47:58 +08:00
@qinxiaozhi 也许开发者已经看到这篇帖子了 刚刚下载之后就开始闪退
airycanon
    103
airycanon  
OP
   2023-07-24 13:48:51 +08:00
@dididi9527 我在 98 楼回复过了。
bojackhorseman
    104
bojackhorseman  
   2023-07-24 13:48:55 +08:00
😨
airycanon
    105
airycanon  
OP
   2023-07-24 13:49:43 +08:00
@Uyloal 我这边还是可以打开的。
dididi9527
    106
dididi9527  
   2023-07-24 13:54:19 +08:00
@qinxiaozhi #95 可能开发者也注意到这个帖子了,于是关了后台
1423
    107
1423  
   2023-07-24 13:54:31 +08:00

APP 审核应该不允许这样的文本提示吧
难道是动态生成的?
airycanon
    108
airycanon  
OP
   2023-07-24 13:55:30 +08:00
@1423 是的,这两个文本都是后端的 api 返回的。
hellomynameis
    109
hellomynameis  
   2023-07-24 13:57:07 +08:00 via Android
@Archeb 这么高级的钓鱼手段啊,哈人
这种软件如果能上架商店,那是苹果的锅了
dididi9527
    110
dididi9527  
   2023-07-24 14:01:49 +08:00
@airycanon #103 理解,这看起来已经算是苹果的重大漏洞了,尽量收集好证据,看看能不能起诉苹果
airycanon
    111
airycanon  
OP
   2023-07-24 14:08:58 +08:00
@Archeb 再请教下大佬,添加信任号码还需要,这一步是怎么自动完成的呢?
![]( )
texsd123
    112
texsd123  
   2023-07-24 14:11:03 +08:00 via Android
自己下载试了下,发现软件没有登录窗口了,点一下就是“校验失败,请下载最新版本”,但是已经最新了,而且什么都加载不出来
Jiajin
    113
Jiajin  
   2023-07-24 14:15:55 +08:00
@airycanon 它代码里执行了一段 js ,然后自动填充了手机号,然后自动点了继续,再自动输入之前骗到的密码,这一系列步骤,可能你是看不到的,它用个遮罩层挡住就行了。
daiisdai
    114
daiisdai  
   2023-07-24 14:16:17 +08:00
iOS 那么安全
Archeb
    115
Archeb  
   2023-07-24 14:16:29 +08:00 via iPhone
@airycanon 这是添加的受信手机号,从你提供的图片可以看出是一个+1 的号码,这就很简单了。
北美 VOIP 提供商非常非常多,也可以使用 API 接入。在做这个操作的时候,他只需要从号池中随机抽取一个号码,然后填入这里并获取验证码,等后端 API 返回验证码然后填进去就完成整个操作了,全程自动化。
alihbaba
    116
alihbaba  
   2023-07-24 14:20:39 +08:00   ❤️ 3
楼主发的地址后台
受害人挺多
[Imgur]( https://imgur.com/c7gCwcu)
alihbaba
    117
alihbaba  
   2023-07-24 14:20:56 +08:00   ❤️ 29
[img][/img]
alihbaba
    118
alihbaba  
   2023-07-24 14:22:45 +08:00
这种也是 还有交友的
[img][/img]
Jiajin
    119
Jiajin  
   2023-07-24 14:23:19 +08:00
@alihbaba 秀啊,这么快就爆破了吗。。。
alihbaba
    120
alihbaba  
   2023-07-24 14:24:36 +08:00
下载链接只有苹果的估计只是盗取 Apple ID 暂未发现提交安卓入口
alihbaba
    121
alihbaba  
   2023-07-24 14:25:11 +08:00   ❤️ 1
@Jiajin 没用爆破 逻辑上的 密码不一定可以爆破出来
airycanon
    122
airycanon  
OP
   2023-07-24 14:29:25 +08:00
@alihbaba 大佬能帮忙核实一个 apple id 吗?
alihbaba
    123
alihbaba  
   2023-07-24 14:33:19 +08:00
@airycanon 他这个后台并没有查询 ID 的功能 只显示了 cookie 和密码的 有可能直接利用 cookie 替换进行操作或者就是还有一个总后台
zhaozs1
    124
zhaozs1  
   2023-07-24 14:35:56 +08:00   ❤️ 1
域名 yime888.com
注册商 Xin Net Technology Corporation
参照页 -
域名持有人/机构名称 -
域名持有人/机构邮箱 -
创建时间 2022-04-09
更新时间 2023-01-03
过期时间 2024-04-09
域名服务器 whois.verisign-grs.com
域名服务器 whois.paycenter.com.cn
DNS 服务器 ns11.xincache.com - 129.211.176.209
DNS 服务器 ns12.xincache.com - 36.155.149.176
域名状态 默认的正常状态 https://icann.org/epp
airycanon
    125
airycanon  
OP
   2023-07-24 14:36:12 +08:00   ❤️ 2
@alihbaba 我提供一个密码,能帮忙查查吗,我正在收集证据准备起诉,目前就差这一环了,麻烦大佬了。
lqcc
    126
lqcc  
   2023-07-24 14:36:59 +08:00
真是防不胜防。
zhaozs1
    127
zhaozs1  
   2023-07-24 14:37:19 +08:00
IP: 103.229.183.139
位置: 香港, 東區, 柴灣
经纬度: 22.2661, 114.247
时区: Asia/Hong_Kong
运营商: MOACK.Co.LTD, Icidc Limited
ASN: AS136800 MOACK.Co.LTD
nirvanahh
    128
nirvanahh  
   2023-07-24 14:37:34 +08:00
插眼,蹲个后续情况
alihbaba
    129
alihbaba  
   2023-07-24 14:38:41 +08:00
@airycanon 可以 你可以发过来
alihbaba
    130
alihbaba  
   2023-07-24 14:39:50 +08:00
他们这个是从去年八月份开始的
airycanon
    131
airycanon  
OP
   2023-07-24 14:40:29 +08:00
@alihbaba MTMzNzIxOTY4MjE= 需要解码一下,感谢大佬。
alihbaba
    132
alihbaba  
   2023-07-24 14:41:04 +08:00
@airycanon 好的 稍等一下
JusticeLanding
    133
JusticeLanding  
   2023-07-24 14:42:20 +08:00
wetalk
    134
wetalk  
   2023-07-24 14:42:51 +08:00
@oppoic #56 返回桌面是说上滑回到桌面,弹窗还在吗
airycanon
    135
airycanon  
OP
   2023-07-24 14:42:54 +08:00
@alihbaba 方便的话,麻烦加个微信可以么,跟 V2EX 同号。
barbery
    136
barbery  
   2023-07-24 14:43:17 +08:00
这个就很离谱了,严重关注
Jiajin
    137
Jiajin  
   2023-07-24 14:45:58 +08:00
@airycanon 他这个骗局全程没有收集 appleid 的,全程只钓鱼了密码,appleid 都是后面添加受信任的手机号之后他那边才看到的。
airycanon
    138
airycanon  
OP
   2023-07-24 14:47:45 +08:00
@Jiajin 明白了,这也就想通了,为啥我家人的 Apple ID 邮箱最先收到的邮件是被加入了一个信任号码。
Vistaa
    139
Vistaa  
   2023-07-24 14:50:54 +08:00 via iPhone
是不是被盗的 ID 成为了家庭组织者,邀请了小号 ID 加入了家人共享?然后小号 ID 内购,这样扣款直接从被盗 ID 扣款?
alihbaba
    140
alihbaba  
   2023-07-24 14:50:58 +08:00
找到一个和你说的时间差不多的 2023-07-11 18:19:59
第一个字母 Q 你看对不对 密码
airycanon
    141
airycanon  
OP
   2023-07-24 14:51:55 +08:00
@alihbaba 是的,时间是对得上的。
airycanon
    142
airycanon  
OP
   2023-07-24 14:52:15 +08:00
@Vistaa 是的。
alihbaba
    143
alihbaba  
   2023-07-24 14:52:47 +08:00
@airycanon 那就没问题了 他这个后台没用收录 ID 号 有别的地方可以获取估计
alihbaba
    144
alihbaba  
   2023-07-24 14:53:17 +08:00
@airycanon 可以 TG?
mcluyu
    145
mcluyu  
   2023-07-24 15:05:06 +08:00   ❤️ 1
支付宝开通 Apple 免密的时候貌似默认勾选了支付限额 300 块, 这种时候支付限额还是很有用的。
airycanon
    146
airycanon  
OP
   2023-07-24 15:05:28 +08:00
@alihbaba 好的,id 还是跟 V2EX 同号
Orz
    147
Orz  
   2023-07-24 15:06:50 +08:00
Apple 就是垃圾。
c7in7
    148
c7in7  
   2023-07-24 15:07:35 +08:00
楼主,是否可以转到其他平台(加出处)让更多人知道这种骗术?
alihbaba
    149
alihbaba  
   2023-07-24 15:11:07 +08:00
@airycanon 联系你了
wtfedc
    150
wtfedc  
   2023-07-24 15:20:10 +08:00
@alihbaba 绿林好汉,👍
really28
    151
really28  
   2023-07-24 15:28:20 +08:00
吓得我赶紧关了十来个用 Apple ID 的 APP
oppoic
    152
oppoic  
   2023-07-24 15:32:31 +08:00
@wetalk 这个弹框出来,上滑是回不了桌面的。如果是第三方在 app 里伪造的,那么上滑自然就回到了桌面
fuliti
    153
fuliti  
   2023-07-24 15:41:35 +08:00
是有点可怕,不过,在我觉得,任何 APP 向你索要 ID 密码的时候,基本上可以卸载了。苹果手机,唯一安全的底线,就是这个密码
ChoiKarl
    154
ChoiKarl  
   2023-07-24 15:45:59 +08:00
@Gadmin #74 我也很好奇是怎么做到的,能不能把代码共享出来研究下.
0ranger
    155
0ranger  
   2023-07-24 15:55:42 +08:00
@alihbaba #118 118 楼的 app 有链接吗?我想看一下这类弹窗和 apple 正版的差别(新下的菜谱大全已经打不开了)
dsb2468
    156
dsb2468  
   2023-07-24 16:03:08 +08:00
提示来自于这里:
http://app.yime888.com/api/ck.php
alihbaba
    157
alihbaba  
   2023-07-24 16:03:33 +08:00
@0ranger aHR0cHM6Ly9hcHAyLnlpbWU4ODguY29tL21hbmlmZXN0LnBsaXN0
这个你试试
Archeb
    158
Archeb  
   2023-07-24 16:22:24 +08:00
@airycanon #146 微信联系一下?
Senorsen
    159
Senorsen  
   2023-07-24 16:24:56 +08:00   ❤️ 1
卧槽,这算是漏洞+社工了,苹果这些客服顾问真出事时一点用也没有,简直了。
AkaHanshan
    160
AkaHanshan  
   2023-07-24 16:27:49 +08:00   ❤️ 1
哈人,这么严重的漏洞 Apple 居然熟视无睹还留着呢
dsb2468
    161
dsb2468  
   2023-07-24 16:27:56 +08:00
这家伙不止收集 COOKIE ,还在收集抖音+快手的数据
alihbaba
    162
alihbaba  
   2023-07-24 16:31:29 +08:00   ❤️ 11
弄到权限了
AuYuHui
    163
AuYuHui  
   2023-07-24 16:32:25 +08:00
@alihbaba 看大佬表演
cat
    164
cat  
   2023-07-24 16:32:51 +08:00
@alihbaba 大佬牛逼,膜拜一下,好人一生平安
xctcc
    165
xctcc  
   2023-07-24 16:34:53 +08:00
@alihbaba 大佬你是真牛逼
Gaoti
    166
Gaoti  
   2023-07-24 16:36:58 +08:00
@wetalk 假的弹窗是在 app 内部的,回到桌面后你就会发现弹窗是在 app 界面上的,而不是系统级别的弹窗
romisanic
    167
romisanic  
   2023-07-24 16:37:18 +08:00
@alihbaba
膜拜一下大佬
alihbaba
    168
alihbaba  
   2023-07-24 16:39:47 +08:00
那位老哥偷偷的裸机搞得 挂个代理
0ranger
    169
0ranger  
   2023-07-24 16:40:14 +08:00
@alihbaba #157 plist 提取的 ipa 直链下不了,可能是看到这篇文章了
alihbaba
    170
alihbaba  
   2023-07-24 16:41:11 +08:00
@0ranger 有可能换别的 app 了
alihbaba
    171
alihbaba  
   2023-07-24 16:43:14 +08:00
@0ranger aHR0cHM6Ly9hcHAueWltZTg4OC5jb20vaXBhLmlwYQ==
这个是我在服务器找的 你试试
yyf1234
    172
yyf1234  
   2023-07-24 16:45:01 +08:00 via iPhone
@alihbaba 6 啊,请问是 ssh 爆破还是宝塔提权
x1abin
    173
x1abin  
   2023-07-24 16:45:21 +08:00   ❤️ 9
@dearmymy 国人日常反思党你好,如果你说的属实,那不是苹果自己售后策略的问题吗?国内淘宝京东都有 7 天无理由退货功能,人家不一样运作得好好的?我是亲自体验过苹果售后的高傲和拉跨的,竟然还有你这样帮苹果洗的。
yghack
    174
yghack  
   2023-07-24 16:46:26 +08:00   ❤️ 3
按照这个思路,封装了一个 webview,测试了一下,确实不需要 2FA
alihbaba
    175
alihbaba  
   2023-07-24 16:46:56 +08:00
@yyf1234 嫌麻烦 还没有提权只是弄到 shell 就没管了
demonchang
    176
demonchang  
   2023-07-24 16:47:19 +08:00
alihbaba
    177
alihbaba  
   2023-07-24 16:49:29 +08:00
@demonchang 是的
dsb2468
    178
dsb2468  
   2023-07-24 16:49:40 +08:00
alihbaba
    179
alihbaba  
   2023-07-24 16:52:07 +08:00
打包的时候隐蔽点啊
feifeichen
    180
feifeichen  
   2023-07-24 16:53:28 +08:00   ❤️ 1
笑死,骗子回头一看,家都被偷了
feifeichen
    181
feifeichen  
   2023-07-24 16:54:32 +08:00
另外建议别在这帖子暴露太多信息
hahahabro
    182
hahahabro  
   2023-07-24 16:54:57 +08:00
@alihbaba 大佬你留个 tg ,直播一下吧
dsb2468
    183
dsb2468  
   2023-07-24 16:55:24 +08:00
@alihbaba 你把他网站文件删了呀?我还准备给他改下域名地址来着。。
https://app.yime888.com/api/updata_urls.php?url=pianzi&url2=pianzi&url3=pianzi&num=1&txt1=1&txt2=1
alihbaba
    184
alihbaba  
   2023-07-24 16:57:25 +08:00
@dsb2468 不是我 别人
alihbaba
    185
alihbaba  
   2023-07-24 16:57:57 +08:00   ❤️ 1
遂把他东西打包了 日志还全删了
alihbaba
    186
alihbaba  
   2023-07-24 16:59:20 +08:00
真他妈牛逼 真会装逼
0x4C
    187
0x4C  
   2023-07-24 16:59:59 +08:00
@alihbaba 不知道哪个会点技术的脚本小子乱搞……案发现场都没了人等下直接不认罪
alihbaba
    188
alihbaba  
   2023-07-24 17:00:18 +08:00
@0x4C 真的 6
samvvv
    189
samvvv  
   2023-07-24 17:01:46 +08:00
谁给删了,有没有大佬备份了发一下。
bluekz
    190
bluekz  
   2023-07-24 17:04:59 +08:00
好家伙,这不是 fbi warning 吗!
freekeeper
    191
freekeeper  
   2023-07-24 17:12:15 +08:00 via iPhone
打包给楼主应该有助于起诉😨
BanShe
    192
BanShe  
   2023-07-24 17:12:17 +08:00
看一眼都 404
samvvv
    193
samvvv  
   2023-07-24 17:13:02 +08:00   ❤️ 1
被删除前主页代码: https://anonymfile.com/Qp6zB/index.php
DigitalG
    194
DigitalG  
   2023-07-24 17:16:23 +08:00
要不要提交到 https://news.ycombinator.com 那边?感觉也容易在海外引起关注。关注的人多了,Apple 多少会有下文的吧
samvvv
    195
samvvv  
   2023-07-24 17:16:37 +08:00
BanShe
    196
BanShe  
   2023-07-24 17:28:24 +08:00
@0x4C 也可能自导自演
windorz
    197
windorz  
   2023-07-24 17:30:19 +08:00
插眼, 过于离谱, 关注一下.
aero99
    198
aero99  
   2023-07-24 17:41:22 +08:00
这个 APP 是在国区还是其他区下载的呢,这种 APP 也能上架应该是苹果审核的责任
alihbaba
    199
alihbaba  
   2023-07-24 17:43:29 +08:00
@aero99 很多 之前谷歌商店也爆出过类似的
SNOOPY963
    200
SNOOPY963  
   2023-07-24 17:44:14 +08:00   ❤️ 1
当时有篇报道说开了双重认证还被盗了我还不信
1  2  3  4  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1867 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 16:19 · PVG 00:19 · LAX 08:19 · JFK 11:19
Developed with CodeLauncher
♥ Do have faith in what you're doing.