昨天本站一个主题讨论了楼主亲戚被钓鱼 app 诈骗,绕过了苹果的双重认证被骗走 1.6 万元的事件,原贴如下: https://www.v2ex.com/t/959041
梳理整个事件,按照我个人的理解,骗子是这样得手的:
- 上传钓鱼 app 到 App store ,通过审核(此时没有上传恶意代码)
- 通过热更新将钓鱼代码注入钓鱼 app (食谱软件)
- 钓鱼 app 伪造了 webview 的窗口打开了 Apple ID 的登录网页
- 受害人被钓鱼 app 诱骗,输入了 Apple ID 和密码(骗子获取到了用户的 ID 和密码)
- 骗子通过钓鱼 app 在受害人手机上将自己的电话号码加入了可信任的电话号码中
- 骗子将自己的 Apple ID 加入受害人的家庭组
- 骗子登录已加入受害人家庭组的 Apple ID ,在 app store 消费了 1.6 万元
对于步骤 1-5 ,7 没有疑惑之处。让我困惑的是,骗子如何将自己的 Apple ID 加入受害者的家庭组?
加入家庭组必须要在用户设备上操作。骗子必须在设备上登录受害人的 Apple ID ,才可将自己添加进家庭组。 骗子登录受害者 Apple ID 的操作,在开启双重认证的受害人设备上必将弹出提示,不论是否将自己的号码加入信任的电话号码。
骗子如何做到在受害人完全没有提示的情况下登录了她的 Apple ID ,并将自己加入家庭组?
1
Select Language