大量蘋(píng)果用戶中招！手機(jī)秒變別人的“提款機(jī)”，一場(chǎng)以“電商偽裝”精心設(shè)計(jì)的騙局

“(我的)蘋(píng)果ID被盜，1分鐘刷走4140元!”

近期，不斷有小紅書(shū)、抖音等平臺(tái)的用戶發(fā)帖，訴說(shuō)他們的賬戶被盜刷的經(jīng)歷，有人因此事加入的群在組建后幾天內(nèi)，成員就超200人，中招者損失的金額從數(shù)百元到上萬(wàn)元不等。

一位接近中消協(xié)的人士向記者透露，近期蘋(píng)果的客訴量較高。

這不是蘋(píng)果ID被盜刷事件首次發(fā)生，早在2018年，類(lèi)似情況就曾集中出現(xiàn)。

如今，行騙者比以前更 “精”，不搞老套的釣魚(yú)鏈接，反而偽裝成電商平臺(tái)的賣(mài)家，誘導(dǎo)消費(fèi)者掉入其精心設(shè)計(jì)的騙局。很多人直到收到扣款短信，才發(fā)現(xiàn)被刷走多筆資金。

當(dāng)盜刷黑手不斷升級(jí)，蘋(píng)果用戶該如何守護(hù)好自己的ID，不讓手機(jī)變成別人的“提款機(jī)”?

盜刷“幽靈”來(lái)襲：平臺(tái)“買(mǎi)卡”，蘋(píng)果ID卻被竊

“我在閑魚(yú)上刷到的‘次卡’便宜了不少，還覺(jué)得撿著寶了?！苯衲陣?guó)慶中秋假期期間，馮平(化名)點(diǎn)擊賣(mài)家發(fā)來(lái)的鏈接時(shí)，未曾料想到會(huì)損失錢(qián)財(cái)。

溝通中，賣(mài)家首先確認(rèn)了馮平使用的是蘋(píng)果手機(jī)，再以“需綁定蘋(píng)果賬號(hào)激活”為由，讓其提供ID和密碼。“我猶豫了一下，問(wèn)‘為什么要密碼’，對(duì)方說(shuō)‘蘋(píng)果設(shè)備都這樣’?！瘪T平想到，自己平時(shí)購(gòu)買(mǎi)商品付費(fèi)時(shí)還需要進(jìn)行人臉識(shí)別，覺(jué)得“應(yīng)該沒(méi)太大風(fēng)險(xiǎn)”，便將相關(guān)信息發(fā)送了過(guò)去。

賣(mài)家隨后又發(fā)來(lái)消息：“需要驗(yàn)證碼完成登錄，你看一下手機(jī)短信。”馮平回憶，自己一共兩次將設(shè)備碼或驗(yàn)證碼發(fā)給對(duì)方。

不曾想，其手機(jī)隨后彈出多條支付寶扣款消息：支付了3筆648元款項(xiàng)，共1944元，用于購(gòu)買(mǎi)某平臺(tái)“會(huì)員幣”。

“一下子蒙了，不是我本人消費(fèi)的?！瘪T平說(shuō)，自己慌得手都在抖，趕緊關(guān)閉了支付寶免密支付功能，并電話聯(lián)系閑魚(yú)平臺(tái)披露的商家手機(jī)號(hào)。對(duì)方承認(rèn)是賣(mài)家，但一聽(tīng)到“盜刷”便掛斷電話，隨后失聯(lián)。

另一名網(wǎng)友方方(化名)告訴記者，她因購(gòu)買(mǎi)山姆會(huì)員卡被盜刷超4500元，其所在的受害者群組僅數(shù)日就超200人?！昂芏嗳诉€在其他群，受害人數(shù)或上千?！痹谒磥?lái)，“這是蘋(píng)果系統(tǒng)‘漏洞’導(dǎo)致。在扣款時(shí)，沒(méi)有要求我輸入密碼或者進(jìn)行人臉識(shí)別，均為自動(dòng)扣費(fèi)而且也非我本人操作”。

一位接近中消協(xié)的人士向記者透露，近期蘋(píng)果相關(guān)客訴量較高。記者查詢注意到，截至10月29日，黑貓投訴平臺(tái)關(guān)于蘋(píng)果ID被盜刷的投訴超3700條。

每經(jīng)記者了解到，中招的蘋(píng)果用戶，大多因購(gòu)買(mǎi)低價(jià)商品或服務(wù)，如山姆會(huì)員體驗(yàn)卡、健身卡、剪映會(huì)員、QQ音樂(lè)會(huì)員等，在閑魚(yú)、抖音、小紅書(shū)等平臺(tái)與賣(mài)家溝通時(shí)，被誘導(dǎo)提供蘋(píng)果ID及密碼。

具體來(lái)看，行騙者一般以“登錄驗(yàn)證”為由索要驗(yàn)證碼，隨后可能誘導(dǎo)用戶點(diǎn)擊不明鏈接，借著蘋(píng)果在短信中未詳細(xì)提示該驗(yàn)證碼的用途，偷偷關(guān)閉用戶設(shè)置的人臉驗(yàn)證并開(kāi)啟免密支付等功能，進(jìn)而繞過(guò)蘋(píng)果的“雙重”防護(hù)，實(shí)施多筆盜刷。不少用戶雖未直接綁定銀行卡，但因蘋(píng)果ID關(guān)聯(lián)支付寶或微信，仍被扣款。

盜刷者繞過(guò)“雙重”防護(hù)：“木馬鏈接”迭代為“電商偽裝”

值得注意的是，這不是蘋(píng)果ID首次遭遇大面積盜刷，2018年就曾集中出現(xiàn)。當(dāng)時(shí)蘋(píng)果稱(chēng)，調(diào)查發(fā)現(xiàn)少量用戶的賬戶在尚未開(kāi)啟雙重認(rèn)證的情況下遭遇釣魚(yú)詐騙，強(qiáng)烈建議所有用戶開(kāi)啟雙重認(rèn)證。

而近期再度爆發(fā)的盜刷事件，行騙者手法已迭代升級(jí)。

“與2018年不同，這次騙局更隱蔽。”中國(guó)社會(huì)科學(xué)院財(cái)經(jīng)戰(zhàn)略研究院副院長(zhǎng)尹振濤向每經(jīng)記者指出，以往大多是普通鏈接植入木馬等，如今行騙者依托交易場(chǎng)景，以“商家”身份獲取信任，降低消費(fèi)者警惕心?！坝猩虘?、有社交??行騙者的外部掛靠鏈接更加豐富。”

7年過(guò)去，為何盜刷問(wèn)題仍未阻斷?

尹振濤多次參與我國(guó)支付領(lǐng)域政策解讀，他告訴記者，本質(zhì)在于蘋(píng)果免密支付的安全設(shè)置。在蘋(píng)果支付的背后，很多人掛的不是銀行卡，而是第三方支付工具。“這些支付工具又通過(guò)免密支付的權(quán)限，掛著我們的銀行賬戶，鏈條復(fù)雜。但風(fēng)險(xiǎn)集中在前端，即蘋(píng)果支付的安全認(rèn)證環(huán)節(jié)?！?/p>

多位遭遇盜刷的網(wǎng)友稱(chēng)，由于蘋(píng)果方面未明確提示“驗(yàn)證碼”的具體用途，導(dǎo)致其在不知情的情況下泄露信息。

10月13日至10月28日，記者數(shù)次聯(lián)系蘋(píng)果方面，但未獲回應(yīng)。每經(jīng)記者還以消費(fèi)者身份致電蘋(píng)果客服，對(duì)方坦言近期的確有多起盜刷投訴，并指出把蘋(píng)果ID和密碼發(fā)給別人是相關(guān)用戶遭遇盜刷的核心原因?！疤O(píng)果賬戶密碼是唯一的核心身份憑證，為簡(jiǎn)化會(huì)員訂閱、應(yīng)用購(gòu)買(mǎi)等操作，系統(tǒng)支持免密支付功能，但該功能需基于身份驗(yàn)證通過(guò)后生效?！?/p>

上述蘋(píng)果客服進(jìn)一步表示，“(不明釣魚(yú))鏈接常偽裝成‘賬戶驗(yàn)證’‘權(quán)益領(lǐng)取’頁(yè)面，誘導(dǎo)用戶輸入賬戶密碼并點(diǎn)擊授權(quán)，進(jìn)而竊取權(quán)限”。其強(qiáng)調(diào)，蘋(píng)果官方不會(huì)以單獨(dú)短信形式發(fā)送授權(quán)登錄請(qǐng)求，雙重認(rèn)證的驗(yàn)證信息均通過(guò)受信任設(shè)備的系統(tǒng)通知推送，或伴隨通知同步發(fā)送驗(yàn)證碼，需在設(shè)備端完成確認(rèn)操作。

中消協(xié)曾強(qiáng)調(diào)，即使開(kāi)通免密支付，經(jīng)營(yíng)者對(duì)于消費(fèi)者每次交易仍應(yīng)盡到提示義務(wù)，經(jīng)消費(fèi)者確認(rèn)后方可進(jìn)行支付、扣款交易，免密支付應(yīng)僅限于免除消費(fèi)者輸入密碼。

尹振濤指出，國(guó)內(nèi)多數(shù)平臺(tái)對(duì)異常登錄會(huì)及時(shí)提醒，強(qiáng)制二次驗(yàn)證甚至臨時(shí)鎖號(hào)，而蘋(píng)果在風(fēng)險(xiǎn)識(shí)別和干預(yù)機(jī)制上有些“水土不服”?！疤O(píng)果將安全保障交由用戶自主選擇，在‘體驗(yàn)’與‘安全’之間更傾向于前者，防護(hù)之‘盾’不夠堅(jiān)固，攻擊之‘矛’便有機(jī)可乘?！?/p>

10月23日，記者以消費(fèi)者身份致電中消協(xié)，相關(guān)工作人員表示，已關(guān)注到近期盜刷事件，蘋(píng)果作為支付方及相關(guān)服務(wù)提供者，理應(yīng)履行用戶安全保障義務(wù)。

盜刷手段不斷升級(jí)，蘋(píng)果用戶的損失由誰(shuí)埋單?

中消協(xié)曾就多方責(zé)任劃分表示，在不能證明用戶存在過(guò)錯(cuò)的賬號(hào)盜刷事件中，經(jīng)營(yíng)者及第三方支付公司需承擔(dān)賠償責(zé)任。

但現(xiàn)實(shí)情況是，受害者們維權(quán)困難。當(dāng)中涉及多個(gè)平臺(tái)、企業(yè)，那么，誰(shuí)該承擔(dān)主要責(zé)任?

對(duì)此，北京市中聞律師事務(wù)所合伙人楊藝表示，若商家通過(guò)非法或不實(shí)鏈接導(dǎo)致用戶損失，應(yīng)承擔(dān)民事賠償責(zé)任。過(guò)程中，若存在非法占有目的，則可能涉嫌詐騙或盜竊等，對(duì)事件的發(fā)生負(fù)有較大責(zé)任。但消費(fèi)者輕信誘導(dǎo)，主動(dòng)提供蘋(píng)果ID、密碼及驗(yàn)證碼，也未盡合理注意義務(wù)，存在一定過(guò)失。

楊藝表示，僅建議用戶開(kāi)啟雙重認(rèn)證來(lái)防范風(fēng)險(xiǎn)，不能被視為窮盡了應(yīng)盡的安全保障義務(wù)，蘋(píng)果還可以采取更多保障客戶財(cái)產(chǎn)安全的措施。

那么，對(duì)于蘋(píng)果用戶而言，如何讓自己的設(shè)備更安全?

蘋(píng)果的客服向記者強(qiáng)調(diào)，用戶絕對(duì)不能向任何人泄露賬戶密碼，蘋(píng)果工作人員也絕不會(huì)以任何形式索要密碼?！叭绻罄m(xù)發(fā)現(xiàn)賬戶有異常登錄或不明消費(fèi)，建議第一時(shí)間修改賬戶密碼并重置雙重認(rèn)證，同時(shí)截圖保存異常交易記錄;立即通過(guò)相關(guān)退款路徑發(fā)起申訴，并聯(lián)系蘋(píng)果客服說(shuō)明情況，若涉及金額較大或交易頻繁，需同步向警方補(bǔ)充報(bào)案材料，以便多方協(xié)同追溯?！?/p>

每經(jīng)記者注意到，在蘋(píng)果官方網(wǎng)站的社區(qū)中，有不少關(guān)于ID被盜刷和希望能追回?fù)p失的帖子。

被盜刷的資金還能追回嗎?上述客服表示，ID被盜刷也有退款成功的案例，關(guān)鍵在于及時(shí)提供憑證并發(fā)起處理?！氨I刷資金并未留在蘋(píng)果賬戶，騙子通常通過(guò)‘倒賣(mài)權(quán)益’獲利。比如將盜刷的網(wǎng)站會(huì)員贈(zèng)送給其他消費(fèi)者，收取現(xiàn)金差價(jià)，完成資金轉(zhuǎn)移?！?/p>

當(dāng)便捷功能成為盜刷“后門(mén)”，安全閉環(huán)怎么建立?

需要注意的是，用戶遭免密盜刷大多是在電商平臺(tái)上落入圈套，面對(duì)升級(jí)的盜刷手段，平臺(tái)又應(yīng)如何筑牢防線?截至發(fā)稿，閑魚(yú)未作回應(yīng)。

“用戶需警惕商超體驗(yàn)卡等異常低價(jià)商品，不隨意點(diǎn)擊可疑鏈接?！倍兑綦娚滔嚓P(guān)負(fù)責(zé)人對(duì)每經(jīng)記者表示，平臺(tái)正持續(xù)治理引流詐騙，升級(jí)風(fēng)控模型，加強(qiáng)商品準(zhǔn)入審核，并在“飛鴿”客服等場(chǎng)景攔截非法信息，主動(dòng)彈窗提示交易風(fēng)險(xiǎn)。

小紅書(shū)方面也向每經(jīng)記者表示，平臺(tái)長(zhǎng)期打擊涉詐行為?！坝脩艨烧緝?nèi)舉報(bào)違規(guī)內(nèi)容，平臺(tái)將第一時(shí)間核實(shí)處置。”

談及提升行業(yè)支付安全的措施時(shí)，楊藝建議，“不開(kāi)啟免密支付就無(wú)法使用App內(nèi)購(gòu)”等強(qiáng)制行為應(yīng)被禁止，明確被盜刷后的責(zé)任劃分、賠償比例與維權(quán)路徑等將更有利于用戶維護(hù)自身權(quán)益。她指出，蘋(píng)果應(yīng)建立對(duì)異常登錄、頻繁購(gòu)買(mǎi)、跨區(qū)交易的實(shí)時(shí)監(jiān)測(cè)與阻斷機(jī)制，必要時(shí)可考慮采取強(qiáng)制二次驗(yàn)證等方式。

尹振濤認(rèn)為，免密支付缺乏統(tǒng)一安全標(biāo)準(zhǔn)，企業(yè)執(zhí)行不一，支付鏈條中各方責(zé)任模糊，導(dǎo)致受害者追責(zé)難。他建議建立統(tǒng)一的行業(yè)規(guī)范，監(jiān)管引導(dǎo)國(guó)內(nèi)外企業(yè)共同遵循?！霸谌A企業(yè)要與我國(guó)企業(yè)一視同仁。同時(shí)還要適應(yīng)本土化需求，國(guó)內(nèi)用戶的信任是建立在企業(yè)嚴(yán)格防護(hù)上的，(蘋(píng)果)與國(guó)內(nèi)標(biāo)準(zhǔn)接軌，不能沿用全球?qū)捤蓸?biāo)準(zhǔn)，需匹配我國(guó)支付安全等級(jí)與用戶習(xí)慣?！?/p>

尹振濤提醒蘋(píng)果用戶：不點(diǎn)擊要求填寫(xiě)蘋(píng)果ID和密碼的鏈接;主動(dòng)設(shè)置限額或關(guān)閉非必要的免密支付;定期檢查賬戶登錄記錄與消費(fèi)明細(xì)，發(fā)現(xiàn)異常情況立即凍結(jié)賬號(hào)并報(bào)警。

北京市隆安律師事務(wù)所上海分所律師賈玉倩強(qiáng)調(diào)，安全保障不應(yīng)僅靠用戶警惕，還需要技術(shù)層面的主動(dòng)風(fēng)險(xiǎn)攔截、高強(qiáng)度風(fēng)險(xiǎn)提示及快速有效的補(bǔ)救機(jī)制等。如能有監(jiān)管部門(mén)建立統(tǒng)一規(guī)則，覆蓋現(xiàn)有漏洞，實(shí)現(xiàn)損害發(fā)生時(shí)的快速響應(yīng)與處置，將為消費(fèi)者提供更有力的保障。