大量蘋果用戶中招！手機秒變別人的“提款機”，一場以“電商偽裝”精心設計的騙局

“(我的)蘋果ID被盜，1分鐘刷走4140元!”

近期，不斷有小紅書、抖音等平臺的用戶發(fā)帖，訴說他們的賬戶被盜刷的經(jīng)歷，有人因此事加入的群在組建后幾天內(nèi)，成員就超200人，中招者損失的金額從數(shù)百元到上萬元不等。

一位接近中消協(xié)的人士向記者透露，近期蘋果的客訴量較高。

這不是蘋果ID被盜刷事件首次發(fā)生，早在2018年，類似情況就曾集中出現(xiàn)。

如今，行騙者比以前更 “精”，不搞老套的釣魚鏈接，反而偽裝成電商平臺的賣家，誘導消費者掉入其精心設計的騙局。很多人直到收到扣款短信，才發(fā)現(xiàn)被刷走多筆資金。

當盜刷黑手不斷升級，蘋果用戶該如何守護好自己的ID，不讓手機變成別人的“提款機”?

盜刷“幽靈”來襲：平臺“買卡”，蘋果ID卻被竊

“我在閑魚上刷到的‘次卡’便宜了不少，還覺得撿著寶了?！苯衲陣鴳c中秋假期期間，馮平(化名)點擊賣家發(fā)來的鏈接時，未曾料想到會損失錢財。

溝通中，賣家首先確認了馮平使用的是蘋果手機，再以“需綁定蘋果賬號激活”為由，讓其提供ID和密碼。“我猶豫了一下，問‘為什么要密碼’，對方說‘蘋果設備都這樣’?！瘪T平想到，自己平時購買商品付費時還需要進行人臉識別，覺得“應該沒太大風險”，便將相關信息發(fā)送了過去。

賣家隨后又發(fā)來消息：“需要驗證碼完成登錄，你看一下手機短信?！瘪T平回憶，自己一共兩次將設備碼或驗證碼發(fā)給對方。

不曾想，其手機隨后彈出多條支付寶扣款消息：支付了3筆648元款項，共1944元，用于購買某平臺“會員幣”。

“一下子蒙了，不是我本人消費的?！瘪T平說，自己慌得手都在抖，趕緊關閉了支付寶免密支付功能，并電話聯(lián)系閑魚平臺披露的商家手機號。對方承認是賣家，但一聽到“盜刷”便掛斷電話，隨后失聯(lián)。

另一名網(wǎng)友方方(化名)告訴記者，她因購買山姆會員卡被盜刷超4500元，其所在的受害者群組僅數(shù)日就超200人?！昂芏嗳诉€在其他群，受害人數(shù)或上千?！痹谒磥恚斑@是蘋果系統(tǒng)‘漏洞’導致。在扣款時，沒有要求我輸入密碼或者進行人臉識別，均為自動扣費而且也非我本人操作”。

一位接近中消協(xié)的人士向記者透露，近期蘋果相關客訴量較高。記者查詢注意到，截至10月29日，黑貓投訴平臺關于蘋果ID被盜刷的投訴超3700條。

每經(jīng)記者了解到，中招的蘋果用戶，大多因購買低價商品或服務，如山姆會員體驗卡、健身卡、剪映會員、QQ音樂會員等，在閑魚、抖音、小紅書等平臺與賣家溝通時，被誘導提供蘋果ID及密碼。

具體來看，行騙者一般以“登錄驗證”為由索要驗證碼，隨后可能誘導用戶點擊不明鏈接，借著蘋果在短信中未詳細提示該驗證碼的用途，偷偷關閉用戶設置的人臉驗證并開啟免密支付等功能，進而繞過蘋果的“雙重”防護，實施多筆盜刷。不少用戶雖未直接綁定銀行卡，但因蘋果ID關聯(lián)支付寶或微信，仍被扣款。

盜刷者繞過“雙重”防護：“木馬鏈接”迭代為“電商偽裝”

值得注意的是，這不是蘋果ID首次遭遇大面積盜刷，2018年就曾集中出現(xiàn)。當時蘋果稱，調(diào)查發(fā)現(xiàn)少量用戶的賬戶在尚未開啟雙重認證的情況下遭遇釣魚詐騙，強烈建議所有用戶開啟雙重認證。

而近期再度爆發(fā)的盜刷事件，行騙者手法已迭代升級。

“與2018年不同，這次騙局更隱蔽?！敝袊鐣茖W院財經(jīng)戰(zhàn)略研究院副院長尹振濤向每經(jīng)記者指出，以往大多是普通鏈接植入木馬等，如今行騙者依托交易場景，以“商家”身份獲取信任，降低消費者警惕心?！坝猩虘?、有社交??行騙者的外部掛靠鏈接更加豐富?！?/p>

7年過去，為何盜刷問題仍未阻斷?

尹振濤多次參與我國支付領域政策解讀，他告訴記者，本質(zhì)在于蘋果免密支付的安全設置。在蘋果支付的背后，很多人掛的不是銀行卡，而是第三方支付工具?！斑@些支付工具又通過免密支付的權限，掛著我們的銀行賬戶，鏈條復雜。但風險集中在前端，即蘋果支付的安全認證環(huán)節(jié)。”

多位遭遇盜刷的網(wǎng)友稱，由于蘋果方面未明確提示“驗證碼”的具體用途，導致其在不知情的情況下泄露信息。

10月13日至10月28日，記者數(shù)次聯(lián)系蘋果方面，但未獲回應。每經(jīng)記者還以消費者身份致電蘋果客服，對方坦言近期的確有多起盜刷投訴，并指出把蘋果ID和密碼發(fā)給別人是相關用戶遭遇盜刷的核心原因?！疤O果賬戶密碼是唯一的核心身份憑證，為簡化會員訂閱、應用購買等操作，系統(tǒng)支持免密支付功能，但該功能需基于身份驗證通過后生效?！?/p>

上述蘋果客服進一步表示，“(不明釣魚)鏈接常偽裝成‘賬戶驗證’‘權益領取’頁面，誘導用戶輸入賬戶密碼并點擊授權，進而竊取權限”。其強調(diào)，蘋果官方不會以單獨短信形式發(fā)送授權登錄請求，雙重認證的驗證信息均通過受信任設備的系統(tǒng)通知推送，或伴隨通知同步發(fā)送驗證碼，需在設備端完成確認操作。

中消協(xié)曾強調(diào)，即使開通免密支付，經(jīng)營者對于消費者每次交易仍應盡到提示義務，經(jīng)消費者確認后方可進行支付、扣款交易，免密支付應僅限于免除消費者輸入密碼。

尹振濤指出，國內(nèi)多數(shù)平臺對異常登錄會及時提醒，強制二次驗證甚至臨時鎖號，而蘋果在風險識別和干預機制上有些“水土不服”?！疤O果將安全保障交由用戶自主選擇，在‘體驗’與‘安全’之間更傾向于前者，防護之‘盾’不夠堅固，攻擊之‘矛’便有機可乘?！?/p>

10月23日，記者以消費者身份致電中消協(xié)，相關工作人員表示，已關注到近期盜刷事件，蘋果作為支付方及相關服務提供者，理應履行用戶安全保障義務。

盜刷手段不斷升級，蘋果用戶的損失由誰埋單?

中消協(xié)曾就多方責任劃分表示，在不能證明用戶存在過錯的賬號盜刷事件中，經(jīng)營者及第三方支付公司需承擔賠償責任。

但現(xiàn)實情況是，受害者們維權困難。當中涉及多個平臺、企業(yè)，那么，誰該承擔主要責任?

對此，北京市中聞律師事務所合伙人楊藝表示，若商家通過非法或不實鏈接導致用戶損失，應承擔民事賠償責任。過程中，若存在非法占有目的，則可能涉嫌詐騙或盜竊等，對事件的發(fā)生負有較大責任。但消費者輕信誘導，主動提供蘋果ID、密碼及驗證碼，也未盡合理注意義務，存在一定過失。

楊藝表示，僅建議用戶開啟雙重認證來防范風險，不能被視為窮盡了應盡的安全保障義務，蘋果還可以采取更多保障客戶財產(chǎn)安全的措施。

那么，對于蘋果用戶而言，如何讓自己的設備更安全?

蘋果的客服向記者強調(diào)，用戶絕對不能向任何人泄露賬戶密碼，蘋果工作人員也絕不會以任何形式索要密碼。“如果后續(xù)發(fā)現(xiàn)賬戶有異常登錄或不明消費，建議第一時間修改賬戶密碼并重置雙重認證，同時截圖保存異常交易記錄;立即通過相關退款路徑發(fā)起申訴，并聯(lián)系蘋果客服說明情況，若涉及金額較大或交易頻繁，需同步向警方補充報案材料，以便多方協(xié)同追溯?！?/p>

每經(jīng)記者注意到，在蘋果官方網(wǎng)站的社區(qū)中，有不少關于ID被盜刷和希望能追回損失的帖子。

被盜刷的資金還能追回嗎?上述客服表示，ID被盜刷也有退款成功的案例，關鍵在于及時提供憑證并發(fā)起處理?！氨I刷資金并未留在蘋果賬戶，騙子通常通過‘倒賣權益’獲利。比如將盜刷的網(wǎng)站會員贈送給其他消費者，收取現(xiàn)金差價，完成資金轉(zhuǎn)移?！?/p>

當便捷功能成為盜刷“后門”，安全閉環(huán)怎么建立?

需要注意的是，用戶遭免密盜刷大多是在電商平臺上落入圈套，面對升級的盜刷手段，平臺又應如何筑牢防線?截至發(fā)稿，閑魚未作回應。

“用戶需警惕商超體驗卡等異常低價商品，不隨意點擊可疑鏈接?！倍兑綦娚滔嚓P負責人對每經(jīng)記者表示，平臺正持續(xù)治理引流詐騙，升級風控模型，加強商品準入審核，并在“飛鴿”客服等場景攔截非法信息，主動彈窗提示交易風險。

小紅書方面也向每經(jīng)記者表示，平臺長期打擊涉詐行為。“用戶可站內(nèi)舉報違規(guī)內(nèi)容，平臺將第一時間核實處置?！?/p>

談及提升行業(yè)支付安全的措施時，楊藝建議，“不開啟免密支付就無法使用App內(nèi)購”等強制行為應被禁止，明確被盜刷后的責任劃分、賠償比例與維權路徑等將更有利于用戶維護自身權益。她指出，蘋果應建立對異常登錄、頻繁購買、跨區(qū)交易的實時監(jiān)測與阻斷機制，必要時可考慮采取強制二次驗證等方式。

尹振濤認為，免密支付缺乏統(tǒng)一安全標準，企業(yè)執(zhí)行不一，支付鏈條中各方責任模糊，導致受害者追責難。他建議建立統(tǒng)一的行業(yè)規(guī)范，監(jiān)管引導國內(nèi)外企業(yè)共同遵循?！霸谌A企業(yè)要與我國企業(yè)一視同仁。同時還要適應本土化需求，國內(nèi)用戶的信任是建立在企業(yè)嚴格防護上的，(蘋果)與國內(nèi)標準接軌，不能沿用全球?qū)捤蓸藴剩杵ヅ湮覈Ц栋踩燃壟c用戶習慣?！?/p>

尹振濤提醒蘋果用戶：不點擊要求填寫蘋果ID和密碼的鏈接;主動設置限額或關閉非必要的免密支付;定期檢查賬戶登錄記錄與消費明細，發(fā)現(xiàn)異常情況立即凍結(jié)賬號并報警。

北京市隆安律師事務所上海分所律師賈玉倩強調(diào)，安全保障不應僅靠用戶警惕，還需要技術層面的主動風險攔截、高強度風險提示及快速有效的補救機制等。如能有監(jiān)管部門建立統(tǒng)一規(guī)則，覆蓋現(xiàn)有漏洞，實現(xiàn)損害發(fā)生時的快速響應與處置，將為消費者提供更有力的保障。