原標(biāo)題：蘋果用戶被誰(shuí)“咬”了一口

躺在寢室和室友聊著天，蘋果手機(jī)就在眼皮子底下隔空“消費(fèi)”了自己銀行卡內(nèi)的幾大千。

最近，像成都市民小陳一樣遭受莫名損失的蘋果手機(jī)用戶不在少數(shù)。眾多蘋果用戶反映，在自己不知情的情況下，蘋果ID購(gòu)買了多項(xiàng)App Store內(nèi)容，造成的損失在幾百到幾千不等。目前，已有一些受害者稱已收到蘋果公司的部分退款。

一向以安全自稱的蘋果手機(jī)，為何會(huì)出現(xiàn)如此大規(guī)模的ID被盜事件?

隱患

免密支付權(quán)限

App Store自動(dòng)續(xù)費(fèi)服務(wù) 錢去哪了

被盜刷的錢大都用來(lái)購(gòu)買了風(fēng)之大陸、魔域手游等相關(guān)的游戲產(chǎn)品。這是利用免密支付業(yè)務(wù)，盜竊錢財(cái)購(gòu)買虛擬商品，進(jìn)行套現(xiàn)的違法犯罪行為，專家表示，“這種行為就是銷贓。”

漏洞在哪

Apple ID以前只能通過(guò)電子郵箱進(jìn)行申請(qǐng)。很多用戶為了方便記憶，習(xí)慣將所有密碼設(shè)置為同一個(gè)，就會(huì)讓非法用戶通過(guò)獲取電子郵箱密碼進(jìn)行撞庫(kù)，從而碰撞出Apple ID賬號(hào)以及密碼。

如何防范

“除了解除免密支付外，還可以對(duì)Apple ID設(shè)置兩步驗(yàn)證。”安全專家表示，此外，簽約充值賬戶設(shè)置限額設(shè)置不同密碼，新注冊(cè)Apple ID最好采用手機(jī)號(hào)進(jìn)行注冊(cè)。

匪夷所思

聊天時(shí)手機(jī)被盜刷近5000元

9日下午7點(diǎn)50分左右，成都市民小陳正躺在寢室和室友聊著天，她的蘋果手機(jī)卻收到了支付寶發(fā)來(lái)的消費(fèi)短信提示，顯示小陳的支付寶賬戶在App Store&Apple Music成功付款1000元，隨后其又連續(xù)收到了支付寶發(fā)來(lái)的付款信息。“從7點(diǎn)50分到54分，短短4分鐘時(shí)間，我的銀行卡被盜刷了4922元!”小陳在接受記者采訪時(shí)表示，自己當(dāng)時(shí)專心和室友聊天，并沒有從App Store中購(gòu)買商品。但銀行卡卻為蘋果ID充了值，并通過(guò)蘋果ID購(gòu)買了游戲產(chǎn)品。

小陳出示的蘋果商店的充值、購(gòu)買記錄顯示，其被盜刷的資金用于購(gòu)買了王者榮耀1180、6480點(diǎn)券等產(chǎn)品，每次交易金額分118元、648元不等，這一共花去2630元，其余的2292則被充值到她的Apple ID中。

小陳告訴記者，她隨后就聯(lián)系了蘋果公司，蘋果公司說(shuō)三天內(nèi)會(huì)發(fā)郵件回復(fù)她，截至記者發(fā)稿，“我還沒有等到蘋果的回復(fù)郵件。”

在小陳遭遇此事的前一天，成都某中學(xué)的學(xué)生小磊有同樣經(jīng)歷。小磊告訴記者，8日下午時(shí)分，他的蘋果手機(jī)連續(xù)收到了10條左右在App Store&Apple Music的消費(fèi)提示短信，大多每筆消費(fèi)金額都為648元，短短幾分鐘之內(nèi)，“銀行卡內(nèi)的5832元都用來(lái)購(gòu)買了風(fēng)之大陸、魔域手游等相關(guān)的游戲產(chǎn)品。”當(dāng)天下午，小磊就聯(lián)系了蘋果、微信的官方客服，并在微信錢包的“微信支付百萬(wàn)保障”功能下進(jìn)行了申訴。

波及全國(guó)

部分受害者稱已收到退款

近日，像小陳、小磊一樣遭盜刷的蘋果手機(jī)用戶越來(lái)越多，這些受害者建立了QQ群。小磊告訴記者，QQ一群已經(jīng)500人滿員，而QQ二群不斷有8、9日被盜刷的受害者進(jìn)群，截至10日下午6點(diǎn)，二群成員已達(dá)87人。而先前的媒體報(bào)道稱，受害者已經(jīng)超過(guò)700人。

記者在“蘋果ID被刷處理2群”中看到，盜刷事件的受害者分布在四川、吉林、上海、江蘇、山東、廣東等多個(gè)地區(qū)。用戶被盜刷的金額多用于購(gòu)買王者榮耀、大天使之劍H5、魔力寶貝、上古戰(zhàn)紀(jì)、奇跡覺醒等游戲產(chǎn)品，被盜刷金額為1000余元到6000余元不等。

與媒體之前報(bào)道的“蘋果僅表示‘同情’，無(wú)法退款”的情況不同的是，記者看到“蘋果ID被刷處理2群”中已經(jīng)有多名受害者表示自己的退款申請(qǐng)已經(jīng)在“處理中”“待處理”。小磊告訴記者，他在10日下午3點(diǎn)多收到了蘋果的回復(fù)郵件，告知他蘋果已經(jīng)審核了他的案例，并針對(duì)相關(guān)購(gòu)買項(xiàng)目為他發(fā)放了退款。此外，為了防止日后繼續(xù)出現(xiàn)未經(jīng)授權(quán)的交易，蘋果已經(jīng)停用了小磊的賬戶。一名吉林的蘋果手機(jī)用戶也表示，自己前幾日被盜刷了2592元，目前已經(jīng)追回了648元，還有1944元沒有眉目;一名山東用戶被盜刷1000余元，目前蘋果已退款278元。

記者就蘋果ID被盜刷事件聯(lián)系蘋果方面工作人員，截至發(fā)稿未獲對(duì)方回復(fù)。

風(fēng)險(xiǎn)防范

關(guān)閉免密支付、開啟雙重認(rèn)證

“除了解除免密支付外，還可以對(duì)Apple ID設(shè)置兩步驗(yàn)證。”安全專家、成都云云科技有限公司技術(shù)總監(jiān)范毅表示，此外，簽約充值賬戶設(shè)置限額設(shè)置不同密碼、盡量別使用真實(shí)QQ號(hào)郵箱、在QQ郵箱中設(shè)置一個(gè)別名，利用別名郵箱進(jìn)行注冊(cè)及登錄都能幫助降低風(fēng)險(xiǎn)。“以后新注冊(cè)Apple ID最好采用手機(jī)號(hào)進(jìn)行注冊(cè)。”

10日，支付寶工作人員告訴記者，支付寶已經(jīng)多次聯(lián)系蘋果公司并推動(dòng)其盡快定位被盜原因，提升安全防范水平，并徹底解決用戶權(quán)益損失的問題。

支付寶方面還表示，用戶可以在支付寶App里，點(diǎn)擊我的>設(shè)置>支付額度>免密支付/自動(dòng)扣款>App Store，Apple Music&iCloud>安全月額度設(shè)置符合自己的安全預(yù)期的月度限額。

微信方面在接受記者采訪時(shí)也表示，微信支付已積極聯(lián)系蘋果公司，了解問題解決進(jìn)展。建議用戶通過(guò)開啟Apple ID雙重認(rèn)證，定期更換密碼等方式加強(qiáng)對(duì)Apple ID的安全保護(hù)，提升對(duì)Apple ID綁定的支付方式的管理，降低被盜刷的風(fēng)險(xiǎn)。

多名用戶表示，盜刷事件爆發(fā)后，均已取消了支付寶、微信支付對(duì)蘋果手機(jī)的免密支付權(quán)限，并在App Store中關(guān)閉了正在訂閱的自動(dòng)續(xù)費(fèi)服務(wù)。

特 別 視 線

安卓為何逃過(guò)一劫

專家：軟件生態(tài)決定盜用蘋果ID價(jià)值更大

目前安卓手機(jī)沒有出現(xiàn)類似ID被盜刷的問題。為什么安卓手機(jī)用戶逃過(guò)一劫?

范毅表示，近兩年，國(guó)內(nèi)免費(fèi)電子郵箱服務(wù)提供商偶爾會(huì)出現(xiàn)用戶信息泄露的問題，而Apple ID以前只能通過(guò)電子郵箱進(jìn)行申請(qǐng)。加上很多用戶為了方便記憶，習(xí)慣將所有密碼設(shè)置為同一個(gè)，就會(huì)讓非法用戶通過(guò)獲取到的電子郵箱名以及密碼進(jìn)行撞庫(kù)從而碰撞出Apple ID賬號(hào)以及密碼。而“國(guó)內(nèi)安卓系統(tǒng)手機(jī)的默認(rèn)ID是利用手機(jī)號(hào)進(jìn)行登記的，在設(shè)置ID或登錄時(shí)必須要短信驗(yàn)證，因此也導(dǎo)致破解難度較高。”

范毅說(shuō)，事實(shí)上Apple也啟用了兩步驗(yàn)證，利用短信或者受信任設(shè)備進(jìn)行登錄，但目前很多用戶仍舊習(xí)慣使用Apple ID加密碼的非安全組合。

在Apple上進(jìn)行任何充值業(yè)務(wù)都必須要借助Apple Store，而安卓系統(tǒng)的應(yīng)用商店基本只提供App下載，充值繳費(fèi)并不通過(guò)應(yīng)用商店，“兩種軟件不同的生態(tài)圈，也使得盜竊Apple ID 的價(jià)值比起盜竊安卓手機(jī)ID的價(jià)值要更大。”范毅表示。

事實(shí)上，自2016年起，網(wǎng)上就有關(guān)于利用Apple的充值功能進(jìn)行盜刷的新聞，往年以以盜刷銀行卡居多。這是利用免密支付業(yè)務(wù)，盜竊錢財(cái)購(gòu)買虛擬商品，進(jìn)行套現(xiàn)的違法犯罪行為，范毅表示，“這種行為就是銷贓。”