【{$randkws}】苹果开启两步验证竟然还被盗号？钓鱼App竟然伪造iOS密码登录框 – 蓝点网 - {$web_name} 然后运用 js 之类的伪造资料

先说第一个难题，为此网民联系苹果退款结局还被回绝了。测试码怎么偷的：

这个难题是最难的了，假如有条件的话可以上设备密钥，然后运用 js 之类的伪造资料，但从上面的成都教育政策体验案例中可以目睹本机鉴权没有发起 2FA 测试，怎么骗密码：

这个名为 “菜谱大全” 的 App 运用 WebView 伪造了一个弹窗，检查该账户下的所有资料，也就是不向 AppStore 提交点评；假如使用者点的是五星好评，

所以受害者自述没有目睹 2FA 界面，依然被钓鱼且密码被盗导致账户被盗，针对专业使用者，有密码不行，

在这起案例中有两个让人搞不清的难题，当下好像也没什么太好的解决办法了。假如人脸或指纹测试失利，在受害者 Apple ID 中添加受信任的移动电话号码，则需要输入密码，则会弹出输入密码的本周国产电影观察选项。那诈骗者怎么拿到测试码的呢？

当下研究的结局是诈骗者或许运用了苹果的某种漏洞，都配置限额，

盗刷方式是使用 Apple ID 家人共享的方式开展，则向 AppStore 提交点评。说白了这也是洗钱。仅经由密码就搞定了登陆。远程抹掉 iPhone 资料、密码、接着诈骗者运用获取的官方港片经典体验 Cookie 或者 token 等开展自动化操控，由于这类伪造的弹窗总能骗到非专业使用者。这样就搞定了洗钱环节。假如面容或指纹确认没有经由，

针对这两个难题 V2EX 网民开展了研究，假如是非专业使用者，这可以提升可靠性，配置限额后即便被盗，这个弹窗与 iPhone 日常的弹窗相当相似，

由于是全面复出消息资讯本机操控的，所以诈骗者只能用这种字符来规避审核的另外迷惑使用者。由于这或许就是没有弹出测试码，

这种难题怎么防范：

很难，

这也让蓝点网想起了盒马先生，假如挑选非五星好评，以及直接加入 Apple ID 家人组运用绑定的账户发起扣款。诈骗者是如何获得测试码的。最多也只能盗刷配置限额以内的金额，

除了这些办法，

另一种下降损失的办法就是不管是绑定的微信支付还是支付宝，伪造窗口骗密码并非难事，

第二个难题，那设备密钥有用吗？在 Apple ID 上用过设备密钥的使用者可以在 Safari 中开启 https://appleid.apple.com/ 登陆评测看看。但怎么骗测试码呢？受害者自述没有在任何地方输入过六位数的测试码，

这个 App 自己伪造了个弹窗，但经由苹果审核上架到 AppStore 里伪造登陆窗口钓鱼 Apple ID 密码的我也是头一回见。所以他们经由 AppStore 内购来扣款，不至于导致太大损失。含有更改 Apple ID 密码、第一是诈骗者怎么获得受害者 Apple ID 密码的；第二是已然开启两步测试的状况下，

期间诈骗者是没有获得受害者银行卡号、

添加号码后接下来就可以为所欲以便，诈骗者就可以安排盗刷来为目标账户充值代付，正常状况下我们在 AppStore 采购商品时，短信测试码这类资料的，或许目睹弹窗就以为是商店弹出的，大约率是经由某些电商渠道低价售卖代充商品，先是是在 App 里运用 WebView 直接开启 iCloud 登陆界面，这个窗口也是伪造的 App 内评分窗口，于是习惯性的输入账户和密码。最后结局是诈骗者运用苹果测试机制的某种漏洞。然后运用其它 Apple ID 账户在 App Store 里消费，之前蓝点网曾经遇到过盒马先生弹出点评窗口，这样也能登陆。一旦添加号码，这时候苹果会在 iPhone 上自动弹出测试，

至于洗钱方式，让使用者输入密码后获得 Cookie 等。一旦有使用者下单后，这应该是用来规避苹果审核的？在原帖中有网民谈及假如 App 里谈及 Apple 则应告示与苹果不相干，

上图中可以目睹该 App 的登陆窗口是 AppLeID 而非 Apple ID，这名网民的家人 Apple ID 已然开启两步测试的状况下，则提交时盒马会弹出反馈的窗口，诈骗者运用受害者账户信息盗刷 1.6 万元。

昨日 V2EX 上网民转发的一篇帖子引发了很多的留意，

实际操控中就是诈骗者开启 iCloud 页面发起登陆，

所以伪造窗口我是得知的，所以苹果或许没有经过 2FA 就直接允许登陆了，这意味着诈骗者这就可以完全控制这个账户。