首页 手机网 财经号下载
入驻财经号 登录 客服 |
首页> 财经> 正文

支付账户被盗刷的人,99%没有开通苹果手机的这个功能

财经号APP
苏宁金融研究院苏宁金融研究院 2018-11-10 22:02:58 615
分享到:

原标题:支付账户被盗刷的人,99%没有开通苹果手机的这个功能

前段时间,多名苹果手机用户反映自己的手机出现了异常支付,具体表现为他们的Apple ID在苹果的App Store产生多笔消费,数额从数百元到上万元不等(参见图1)。问题是,这些消费根本不是用户本人或亲属操作,消费记录显示多为游戏类APP内购(In-App-Purchase),一时间新闻报道不断,事件影响范围扩大,业界称之为 “苹果盗刷门”。

用户的Apple ID如何被盗?

很显然,图1这个用户的Apple ID被盗了。虽然目前幕后黑手还没有被锁定,但从作案的集中时间(凌晨)以及影响范围来看,大概率是黑客所为。

关注了“苏宁财富资讯”公众号的读者,或许已经从我们以往的文章中了解到黑客拖库和撞库的手段,即黑客从其他(非苹果)平台攫取到大量账号信息(拖库),因为总有一部分用户习惯了用同样的账号和密码注册,因此黑客在苹果App Store使用拖库得到的相同账户名(多为邮箱)和密码组合,尝试登录就能成功(撞库)。

这部分可以登录的Apple ID当中,又有一些开通了支付渠道免密支付功能,如图2所示:

此协议准许苹果App Store在收到用户(Apple ID)的消费请求时,无需额外验证,即可直接向用户关联的支付账户发起扣款。也就是说,黑客无需知晓受害人的支付账户和密码,就可以随意购买App内的收费项目(例如游戏装备、虚拟货币等), 将受害人App账户内的虚拟商品变卖兑现,实现利益转移。

为何会发生上万元的高额盗刷?

这是由于苹果和支付APP的免密支付协议中,对扣款额度默认不设上限,这样发生盗刷时会非常危险。目前支付APP已建议广大用户调整上限,毕竟从代扣协议的约束条件来讲,支付机构本身就无法验证最初的消费发起者到底是用户还是黑客,风险控制只能在代扣请求的发起方(苹果)做好。

很多读者可能会觉得不可思议,为何黑客掌握了他人的Apple ID之后,就可以在任何时间地点登录并在App Store肆意消费,难道苹果完全不做风控么?

当然不是!本次事件中被盗刷的受害人,其Apple ID并没有开启“双重认证”功能,黑客掌握了他的账号密码,即可在从未登录过其ID的iOS设备上登录并产生消费,甚至很可能在同一台iOS设备上登录多个受害人的Apple ID,这就造成了短时间内大量的盗刷事件发生。

那什么是“双重认证”呢?

此功能是苹果开发的管控Apple ID登录iOS设备/网页的功能。简单来说就是,苹果会记录用户ID经常登录的设备号,如果此ID想要在陌生设备/网页(IP)登录,必须由用户的常用设备授权。如下图3所示,笔者在陌生电脑(陌生iOS设备同理)上尝试登录苹果Apple ID管理网页时,会被要求输入验证码:

同时,笔者日常使用的iPhone X屏幕上弹出的提示如下图4:

如果确定登录行为是安全可信的,点击“允许”后可以展示出一个6位数的验证码,将其输入到正在登录账号的设备的界面上即可成功授权登录,同时您也可以选择“信任”该设备并将其加入Apple ID的可信设备列表中(今后无需再次输入验证码即可在此设备上登录该Apple ID):

有了这个功能,黑客登录被盗的 Apple ID必然是在一台陌生(非信任)设备上,没有用户的授权他什么也做不了,也就不会发生盗刷或其他泄露信息事件了。

实际上,苹果的双重认证从防范逻辑上看,和我们常见的各种App登录要求短信验证是一个道理,都是在登录服务器上检查账户与硬件设备的关联性,并给出一个额外的认证步骤,以相对更安全的渠道让用户授权登录。只不过,盗刷门中的用户并未开启双重认证。

那通常的风控怎么防范盗刷呢?

智能数据分析是一种趋势。例如,苏宁“极目”账户异常预警系统:通过组合会员的身份信息、行为特征、设备信息、交易信息,建立多维度的层次化体系;基于数据挖掘和随机森林、XGBoot机器学习算法,评估用户的异常风险可能性,保证评分的高准确性。目前,该系统已应用在账号登录和消费环节,可轻松识别被盗账户在异常地点/异常设备的登录行为,以及异常时间发生的异常消费行为,为用户的账户和财产安全保驾护航。

最后,基于前文的技术分析,笔者梳理了苹果用户防范支付账户被盗刷的正确姿势:

(1)不在多个账户之间使用相同或者非常近似的密码,可以有效防止黑客撞库。

(2)签订免密支付协议时,细读文本条款,确认支付发生的条件以及额度限制,或者是否带有自动按期续费(代扣)等附属项;同时检查支付APP(或银行APP)当中的免密支付设置,及时关闭不必要的协议,或者将支付额度降到合理的范围。如下图6所示:

(3)开启iOS的双重认证功能,路径如下:“设置”-“<你的Apple ID>”-“密码与安全性”-“双重认证”开启:

(4)如果要将自己的旧iPhone转卖,或淘汰给其他亲朋好友,一定记得恢复出厂设置(会抹掉你的Apple ID和机器的关联),之后任何人在该机上尝试登录你的Apple ID,都会再次触发双重认证。

(5)如果您的iPhone手机丢失了,而且还没有设置解锁密码或指纹等,那赶快登录一台曾经登录过Apple ID的电脑,在www.icloud.com上“查找我的iPhone”,然后启用丢失模式或抹掉数据:

最后,如果你已经不幸中招,除了按照上面的步骤完成自检,还请尽快拨打苹果客服电话(400-666-8800)向苹果提起退款申请,提供自己被盗刷的记录。据悉,目前已经有用户用这种方式追回了损失。

来源:苏宁财富资讯;作者:苏宁金融研究院金融云实验室高级研究员 周成

责任编辑:

展开全文k

财经号声明: 本文由入驻中金在线财经号平台的作者撰写,观点仅代表作者本人,不代表中金在线立场。仅供读者参考,并不构成投资建议。投资者据此操作,风险自担。同时提醒网友提高风险意识,请勿私下汇款给自媒体作者,避免造成金钱损失,风险自负。如有文章和图片作品版权及其他问题,请联系本站。

0条评论 网友评论文明上网,理性发言

中金登录 微博登录 QQ登录

    查看更多评论

    举报此人

    X
    确认
    取消

    热门视频换一批

    温馨提示

    由于您的浏览器非微信客户端浏览器,无法继续支付,如需支付,请于微信中打开链接付款。(点击复制--打开微信--选择”自己“或”文件传输助手“--粘贴链接--打开后付款)

    或关注微信公众号<中金在线>底部菜单”名博看市“,搜索您要的作者名称或文章名称。给您带来的不便尽请谅解!感谢您的支持!

    复制链接

    鲜花打赏 X

    可用金币:0

    总支付金额:0

    您还需要支付0
    我已阅读《增值服务协议》
    确认打赏

    1鲜花=0.1元人民币=1金币    打赏无悔,概不退款

    举报文章问题 X
    参考地址

    其他问题,我要吐槽

    确定

    温馨提示

    前往财经号APP听深入解析

    取消 确认