每經(jīng)記者|畢媛媛 杜蔚 每經(jīng)編輯|魏官紅
“(我的)蘋果ID(身份標識)被盜���,1分鐘被刷走4140元!”
近期�����,不斷有小紅書�、抖音等平臺的用戶發(fā)帖,訴說他們蘋果ID被盜刷的經(jīng)歷���,有人因此事加入的群在組建后幾天內(nèi)���,成員就超200人�,中招者損失的金額從數(shù)百元到上萬元不等����。
每日經(jīng)濟新聞
一位接近中國消費者協(xié)會的人士向記者透露,近期蘋果的客戶投訴數(shù)量較高�。
這不是蘋果ID被盜刷事件首次發(fā)生,早在2018年���,類似情況就曾集中出現(xiàn)�。
如今�����,行騙者比以前更“精”�,不搞老套的釣魚鏈接,反而偽裝成電商平臺的賣家�����,誘導消費者掉入其精心設計的騙局����。很多人直到收到扣款短信���,才發(fā)現(xiàn)被刷走多筆資金。
當盜刷黑手不斷升級���,蘋果用戶該如何守護好ID��,不讓手機變成別人的“提款機”�����?
盜刷“幽靈”來襲:在平臺“買卡”����,蘋果ID被竊
“我在閑魚上刷到的‘次卡’便宜了不少��,還覺得撿著寶了����。”今年國慶中秋假期期間���,馮平(化名)點擊賣家發(fā)來的鏈接時���,未曾料到會損失錢財����。
在溝通中���,賣家首先確認了馮平使用的是蘋果手機���,再以“需綁定蘋果賬號激活”為由,讓其提供ID和密碼���。“我猶豫了一下�,問‘為什么要密碼’�����,對方說‘蘋果設備都這樣’�。”馮平想到其平時購買商品付費時還需要進行人臉識別,覺得“應該沒太大風險”�,便將相關信息發(fā)了過去。
賣家隨后又發(fā)來消息:“需要驗證碼完成登錄��,你看一下手機短信��。”馮平回憶,其一共兩次將設備碼或驗證碼發(fā)給對方����。
不曾想,馮平的手機隨后彈出多條支付寶扣款消息:支付了3筆648元款項�,共1944元,用于購買某平臺“會員幣”����。
“一下子蒙了,不是我本人消費的�。”馮平說,自己慌得手都在抖����,趕緊關閉了支付寶免密支付功能,并電話聯(lián)系閑魚平臺披露的商家手機號���。對方承認是賣家���,但一聽到“盜刷”便掛斷電話,隨后失聯(lián)�����。
另一名網(wǎng)友方方(化名)告訴記者�,她因購買山姆會員卡被盜刷超4500元,其所在的受害者群組人數(shù)僅數(shù)日就超200人�。“很多人還在其他群,受害人數(shù)或上千�����。”在她看來����,“這是蘋果系統(tǒng)‘漏洞’導致的。在扣款時����,沒有要求我輸入密碼或者進行人臉識別,均為自動扣費而且也非我本人操作”�����。
一位接近中國消費者協(xié)會的人士向記者透露���,近期蘋果相關客戶投訴數(shù)量較高���。記者查詢注意到�����,截至10月29日���,“黑貓”投訴平臺關于蘋果ID被盜刷的投訴超3700條。
《每日經(jīng)濟新聞》記者了解到�,中招的蘋果用戶,大多因購買低價商品或服務�����,如山姆會員體驗卡���、健身卡�����、剪映會員��、QQ音樂會員等�,在閑魚�����、抖音、小紅書等平臺與賣家溝通時�,被誘導提供蘋果ID及密碼。
具體來看�����,行騙者一般以“登錄驗證”為由索要驗證碼��,隨后可能誘導用戶點擊不明鏈接�����,利用蘋果在短信中未詳細提示該驗證碼用途的問題�,偷偷關閉用戶設置的人臉驗證并開啟免密支付等功能��,進而繞過蘋果的“雙重”防護����,實施多筆盜刷。不少用戶雖未直接綁定銀行卡��,但因蘋果ID關聯(lián)支付寶或微信����,仍被扣款��。
盜刷者繞過“雙重”防護:“木馬鏈接”迭代為“電商偽裝”
值得注意的是�����,這不是蘋果ID首次遭遇大面積盜刷��,類似情況2018年就曾集中出現(xiàn)����。當時蘋果稱����,調(diào)查發(fā)現(xiàn)少量用戶的賬戶在尚未開啟雙重認證的情況下遭遇釣魚詐騙,強烈建議所有用戶開啟雙重認證��。
而近期再度爆發(fā)的盜刷事件�����,行騙者手法已迭代升級�。
“與2018年不同,這次騙局更隱蔽�。”中國社會科學院財經(jīng)戰(zhàn)略研究院副院長尹振濤向《每日經(jīng)濟新聞》記者指出,以往大多是在普通鏈接中植入木馬等,如今行騙者依托交易場景����,以“商家”身份獲取用戶信任,降低消費者警惕心����。“有商戶、有社交……行騙者的外部掛靠鏈接更加豐富����。”
7年時間過去�����,為何盜刷問題仍未阻斷��?尹振濤多次參與我國支付領域政策解讀�����,他告訴記者���,主要在于蘋果免密支付的安全設置����。在蘋果支付的背后,很多人掛的不是銀行卡���,而是第三方支付工具����。“這些支付工具又通過免密支付的權限���,掛著我們的銀行賬戶�,鏈條復雜�����。但風險集中在前端�����,即蘋果支付的安全認證環(huán)節(jié)���。”
多位遭遇盜刷的網(wǎng)友稱���,由于蘋果方面未明確提示“驗證碼”的具體用途,導致其在不知情的情況下泄露信息。
10月13日至28日���,記者數(shù)次聯(lián)系蘋果方面����,但未獲回應�。記者還以消費者身份致電蘋果客服,對方坦言近期的確有多起盜刷投訴�,并指出把蘋果ID和密碼發(fā)給別人是相關用戶遭遇盜刷的核心原因。“蘋果賬戶密碼是唯一的核心身份憑證����,為簡化會員訂閱�、應用購買等操作,系統(tǒng)支持免密支付功能���,但該功能需基于身份驗證通過后生效��。”
上述蘋果客服進一步表示�,“(不明釣魚)鏈接常偽裝成‘賬戶驗證’‘權益領取’頁面���,誘導用戶輸入賬戶密碼并點擊授權����,進而竊取權限”。其強調(diào)����,蘋果官方不會以單獨短信形式發(fā)送授權登錄請求,雙重認證的驗證信息均通過受信任設備的系統(tǒng)通知推送��,或伴隨通知同步發(fā)送驗證碼���,用戶需在設備端完成確認操作��。
中國消費者協(xié)會曾強調(diào)�����,即使開通免密支付���,經(jīng)營者對于消費者每次交易仍應盡到提示義務,經(jīng)消費者確認后方可進行支付���、扣款交易�,免密支付應僅限于免除消費者輸入密碼����。
尹振濤指出�����,國內(nèi)多數(shù)平臺對異常登錄會及時提醒����,強制二次驗證甚至臨時鎖號�����,而蘋果在風險識別和干預機制上有些“水土不服”���。“蘋果將安全保障交由用戶自主選擇�����,在‘體驗’與‘安全’之間更傾向于前者,防護之‘盾’不夠堅固��,攻擊之‘矛’便有機可乘��。”
10月23日�����,記者以消費者身份致電中國消費者協(xié)會,相關工作人員表示����,已關注到近期盜刷事件,蘋果作為支付方及相關服務提供者���,理應履行用戶安全保障義務�。
盜刷手段不斷升級���,蘋果用戶的損失由誰埋單���?
中國消費者協(xié)會曾就多方責任劃分問題表示,在不能證明用戶存在過錯的賬號盜刷事件中����,經(jīng)營者及第三方支付公司需承擔賠償責任。但現(xiàn)實情況是���,受害者維權困難�。
此外��,當涉及多個平臺、企業(yè)時��,誰該承擔主要責任���?
對此����,北京市中聞律師事務所合伙人楊藝表示�,若商家通過非法或不實鏈接導致用戶損失,應承擔民事賠償責任�。過程中,行為人若存在非法占有目的�,則可能涉嫌詐騙或盜竊等,對事件的發(fā)生負有較大責任���。但消費者輕信誘導���,主動提供蘋果ID、密碼及驗證碼�,也未盡合理注意義務,存在一定過失�����。
楊藝表示��,僅建議用戶開啟雙重認證來防范風險�����,這不能被視為窮盡了應盡的安全保障義務�����,蘋果還可以采取更多保障客戶財產(chǎn)安全的措施�����。
那么�����,對于蘋果用戶而言�����,如何讓設備更安全����?
蘋果客服向《每日經(jīng)濟新聞》記者強調(diào)�,用戶絕對不能向任何人泄露賬戶密碼����,蘋果工作人員也絕不會以任何形式索要密碼。“如果后續(xù)發(fā)現(xiàn)賬戶有異常登錄或不明消費�,建議第一時間修改賬戶密碼并重置雙重認證,同時截圖保存異常交易記錄���;立即通過相關退款路徑發(fā)起申訴����,并聯(lián)系蘋果客服說明情況�,若涉及金額較大或交易頻繁,需同步向警方補充報案材料���,以便多方協(xié)同追溯���。”
記者注意到,在蘋果官方網(wǎng)站的社區(qū)中�,有不少關于ID被盜刷和希望能追回損失的帖子。
被盜刷的資金還能追回嗎�?上述客服表示,ID被盜刷也有退款成功的案例,關鍵在于及時提供憑證并發(fā)起處理����。“盜刷資金并未留在蘋果賬戶����,騙子通常通過‘倒賣權益’獲利。比如將盜刷的網(wǎng)站會員贈送給其他消費者���,收取現(xiàn)金差價�,完成資金轉(zhuǎn)移����。”
當便捷功能成為盜刷“后門”,安全閉環(huán)怎么建立��?
需要注意的是�����,用戶遭免密盜刷大多是在電商平臺上落入圈套�����,面對升級的盜刷手段,平臺又應如何筑牢防線�?截至發(fā)稿,閑魚未作回應��。
“用戶需警惕商超體驗卡等異常低價商品�����,不隨意點擊可疑鏈接�。”抖音電商相關負責人對記者表示,平臺正持續(xù)治理引流詐騙���,升級風控模型�,加強商品準入審核�����,并在“飛鴿”客服等場景攔截非法信息�,主動彈窗提示交易風險。
小紅書方面也向《每日經(jīng)濟新聞》記者表示����,平臺長期打擊涉詐行為。“用戶可站內(nèi)舉報違規(guī)內(nèi)容��,平臺將第一時間核實處置。”
談及提升行業(yè)支付安全的措施時�����,楊藝建議���,“不開啟免密支付就無法使用App(應用程序)內(nèi)購”等強制行為應被禁止,明確被盜刷后的責任劃分�、賠償比例與維權路徑等將更有利于用戶維護自身權益。她指出�����,蘋果應建立對異常登錄�、頻繁購買、跨區(qū)交易的實時監(jiān)測與阻斷機制����,必要時可考慮采取強制二次驗證等方式。
尹振濤認為�����,免密支付缺乏統(tǒng)一安全標準�,企業(yè)執(zhí)行不一,支付鏈條中各方責任模糊,導致受害者追責難�����。他建議建立統(tǒng)一的行業(yè)規(guī)范�����,監(jiān)管引導國內(nèi)外企業(yè)共同遵循�。“在華企業(yè)要與我國企業(yè)一視同仁。同時還要適應本土化需求����,國內(nèi)用戶的信任是建立在企業(yè)嚴格防護上的,(蘋果)應與國內(nèi)標準接軌�����,不能沿用全球?qū)捤蓸藴?���,需匹配我國支付安全等級與用戶習慣。”
尹振濤提醒蘋果用戶:不點擊要求填寫蘋果ID和密碼的鏈接���;主動設置限額或關閉非必要的免密支付�����;定期檢查賬戶登錄記錄與消費明細��,發(fā)現(xiàn)異常情況立即凍結賬號并報警����。
北京市隆安律師事務所上海分所律師賈玉倩強調(diào),安全保障不應僅靠用戶警惕�,還需要技術層面的主動風險攔截、高強度風險提示及快速有效的補救機制等����。如能有監(jiān)管部門建立統(tǒng)一規(guī)則���,覆蓋現(xiàn)有漏洞����,實現(xiàn)損害發(fā)生時的快速響應與處置�����,將為消費者提供更有力的保障���。
封面圖片來源:每日經(jīng)濟新聞
