随着以支付宝与微信支付为代表的移动支付方式深入人心,其已经介入我们日常生活的方方面面,即使是壁垒森严如苹果,在也同样需要拥抱这两大支付巨头。不过在大家享受iOS平台上使用支付宝的便捷之余,也同样有不法分子悄然盯上了这块“蛋糕”。
昨晚,支付宝官方微博发布了关于苹果手机的安全提示,并表示已经检测到部分苹果用户Apple ID被盗,由此带来绑定的支付工具遭遇资金损失。目前,苹果方面已回复表示正在积极解决,支付宝方面建议此类用户调低免密支付额度,以最大限度保护资金安全。
实际上进入8月以来,关于Apple ID被盗刷的新闻就不绝于耳,此次支付宝官方对外发布公告,很可能是因为收到各类咨询投诉实在太多,需要对用户做出统一的说明。
而对于苹果来说,Apple ID在其生态中的重要性不言而喻,几乎所有与苹果关联乃至部分第三方服务都需要通过Apple ID来获取。并且由于Apple ID关联大量个人信息,因此对其安全防护也同样倾注了大量的心血,一直以来攻破屏障的难度也非常高,存储包括Apple ID等各类密码的iCloud钥匙串,采用的是AES-128加密,而类似iMessages信息的加密技术,也同属于目前公认极为安全的对称加密算法。
Apple ID是怎么被盗的?
既然苹果对于账号安全的防护周密,黑客又是如何盗取Apple ID的呢?可能出乎绝大多数人的意料,在为数众多的案例中,都是受害人“主动”向黑客提供了账号密码。通常黑客最常见的手段就是“钓鱼”,例如收到一封与苹果官方信息类似的邮件,其具有相同的字体、格式、语法,甚至Apple Logo等等元素,表示你的账户出现问题,请“点击此处重置您的密码”,并附上一串URL,如果没有仔细观察发信人信息,用户一旦点开并进行输入,也就意味着Apple ID与密码相当于主动交给了对方。
当然,“钓鱼”这种手法尽管老而弥坚,许多用户已经有了防范心态,自然相应的手段也推陈出新。现在出现了一种新颖的方式——山寨热门手游,并且只能用Game Center登陆,此后自然也就变成了类似的套路。
此外撞库也是一大途径,一旦用户的密码信息在某一个薄弱环节被泄露,黑客就会利用这些账号密码去尝试登陆用户的重要服务,例如QQ、微信、支付宝和Apple ID等等。如果说上述途径都行不通,他们还会盯上你的邮箱,众所周知,Apple ID也是邮箱账户,一旦邮箱被盗,盗窃者会直接在苹果官网申请密码重置,就能方便的使用密码重置邮件来修改Apple ID中的密码了。
另外一个需要提出的事实是,在2016年11月1日App Store接入支付宝之前,黑客拿到你的Apple ID,基本上除了盗刷账户余额或是绑定的信用卡之外,就只能搞一搞“锁机勒索”。但是这种方式可以凭借购买设备的发票等实体信息追回,并且被盗刷的资金也是会被苹果退款。
但是在支付宝接入之后,小额免密功能的出现,就让情况变得异常复杂。因为一旦开通这一功能,就能用Apple ID直接消费支付宝里的钱,这样的盗刷由于很难界定行为主体是否为用户本身,并且责任也并不全在苹果身上,因此通常也不会进行退款操作。
苹果不会理赔,支付宝同样也不会进行赔偿,在其免密支付协议中已经有过相关表述,“支付宝只是被授权指令的执行方,除非没有依照特定第三方的指令进行操作,或操作指令错误,否则支付宝不对本服务产生的损失和责任负责”。
以正合以奇胜,拿到退款也有招
那么真的没办法拿回被盗的财产呢?事实上还是有的,作为一家极端注重用户体验的企业,苹果虽然在纸面上表示只能“同情”并不会赔偿,但是请遵照下列操作步骤,依旧有一定的几率得到退款。致电苹果客服——“系统判定无法退款”——再次致电苹果高级客服——高级客服通过申请or不通过后申请工程部调查。通常在这一系列操作接入高级客服之后,苹果就会发邮件告诉你“这是一次破例的退款”。
这通操作并不困难,唯一要注意的是使用这一套操作之后,您在日后的正常消费之后再次退款就会面临一定的难度。归根结底还是海外企业普遍都极其相信用户,但是它也仅仅是一式“奇招”,可一可二不可三。
君不见,《孙子兵法》上就写到,“凡战者,以正合,以奇胜”。在出奇制胜之外,最正面的做法当然是要加强自我保护了。除了按照支付宝建议的调低免密支付的安全月限额之外,开启Apple ID的“两步验证功能”也是极其必须的一步,因为同时攻破手机和邮箱,比单单盗窃邮箱在难度上有着指数级的提升。
其实,Apple ID和支付宝两者接入之后带来的盗刷仅仅是个缩影,更为严重和混乱的是,各大APP互相授权带来的监管空白。比如说,在当下用户越来越不愿意注册账号的情况下,很多网站为了引流和留存,开通了“授权登录”体系,通常涵盖了QQ、微信、支付宝、微博等常用账号。
可是尽管目前经常采用的oauth协议本身安全,但架不住某些中小网站的技术有限,通过支付宝及QQ等账号登陆这些网站的“access token”也面临着一定的安全隐患。因此,对于自身账号安全担忧的朋友,不妨登陆QQ互联、微博“我的应用”、支付宝“通用-授权管理”等方式,来检查自己的授权登录,对于不再使用的授权,还是尽快取消的好。
