蘋果設(shè)備和支付平臺(tái)串通一氣,設(shè)置支付陷阱,從8月份開始數(shù)百人被盜刷了上千元,竟然還無法退款!”近日,全國各地的蘋果手機(jī)用戶頻頻投訴自己的蘋果ID被盜號(hào),綁定的相應(yīng)支付平臺(tái)被用于扣款,最高損失已達(dá)上萬元,而上海蘋果中國公司對(duì)被盜刷用戶提出的退款申訴卻表示無法操作。

  眼睜睜被盜刷2000多元

  蘋果卻無法退款

  9月24日22時(shí)10分,湖北武漢劉女士拿起自己的iPhone6Plus,發(fā)現(xiàn)屏幕中出現(xiàn)了支付寶通知彈窗,顯示22時(shí)09分在App Store&Apple Music成功付款1000元;幾秒鐘后,又來了條通知顯示付款1000元。1分鐘后,支付寶告知“成功關(guān)閉Apple,and GCBD for iCloud的App Store,Apple Music,&iCloud由云上貴州運(yùn)營服務(wù)。

  劉女士就這樣眼睜睜看著自己的賬戶接連被扣除2000元,又自動(dòng)關(guān)閉了一項(xiàng)蘋果服務(wù)!

  隨后,她查看了自己的Apple ID近90天內(nèi)的購買記錄,這讓劉女士大驚失色,顯示,她當(dāng)天為Apple ID“充值”了三筆費(fèi)用,分別是1000元、1000元和100元。她還為一款名叫“魔域口袋版”的游戲“購買”了3筆價(jià)值648元的“魔石”,另購買了一款名為“傳奇世界”游戲價(jià)值45元和98元的“元寶”。狀態(tài)都是“待付款”,幾分鐘后都變成了“已完成”。“這些游戲,我聞所未聞,更別提下載了?!眲⑴恳荒樌Щ?。

劉女士被盜刷的費(fèi)用用于購買游戲裝備劉女士被盜刷的費(fèi)用用于購買游戲裝備劉女士被盜刷的費(fèi)用用于購買游戲裝備劉女士被盜刷的費(fèi)用用于購買游戲裝備

  劉女士打開郵箱,發(fā)現(xiàn)蘋果公司當(dāng)晚22時(shí)06分發(fā)來一份“操作提醒”郵件,顯示她的蘋果ID在iPhone6上登錄了iCloud。但劉女士?jī)H有iPhone6Plus一臺(tái)蘋果設(shè)備,當(dāng)即覺得自己是“被盜號(hào)了?!?/p>

  隨后,她又打開支付寶,查找扣款流程,發(fā)現(xiàn)扣費(fèi)先是用了支付寶零錢,不夠扣就自動(dòng)轉(zhuǎn)為花唄?!?/p>

  問題來了,平時(shí)用支付寶都是使用密碼或指紋,盜刷者是怎么扣除費(fèi)用的呢?”

  在和其他受害者交流中,劉女士想起此前支付寶通知中有過“關(guān)閉免密支付功能”的提醒,但她怎么也記不起自己什么時(shí)候開通過這項(xiàng)服務(wù),更沒有使用過。她懷疑可能是自己的信息遭泄露,被不法分子利用。

  她前前后后聯(lián)系蘋果客服“4006668800”8次,但對(duì)方除了表示“同情”,就是在提交系統(tǒng)審核后告知其無法退款,沒有理由。劉女士轉(zhuǎn)而向上海消費(fèi)者保護(hù)委員會(huì)請(qǐng)求協(xié)助申訴,但蘋果方面此后回復(fù)劉女士的結(jié)果,依然是“系統(tǒng)判定無法退款”。

  9分鐘被盜刷7筆

  3240元僅退回640元

  山西太原的成先生同樣遇到了盜刷,金額達(dá)3240元。但比劉女士“幸運(yùn)”的是,他追回了640元。9月19日7時(shí),一覺醒來的他發(fā)現(xiàn)有筆640元消費(fèi),本以為是昨日在醫(yī)院檢查時(shí)產(chǎn)生的費(fèi)用,就沒當(dāng)回事。

  但他登錄微信交易賬單時(shí)發(fā)現(xiàn),前一天晚上23時(shí)31分開始,9分鐘內(nèi)被連續(xù)扣取了7筆費(fèi)用,全部都是給蘋果ID充值的訂單。成先生當(dāng)即致電蘋果客服,客服查詢后幫其將最近的一筆640元支付退回,剩余的費(fèi)用則“需要申請(qǐng)并獲得認(rèn)可”。

成先生9分鐘內(nèi)被盜取3240元成先生9分鐘內(nèi)被盜取3240元成先生9分鐘內(nèi)被盜取3240元成先生9分鐘內(nèi)被盜取3240元

  9月21日,成先生收到了蘋果公司郵件,稱經(jīng)過審核,“我們?nèi)匀粺o法撤銷您賬號(hào)中未經(jīng)授權(quán)交易的相關(guān)費(fèi)用”。成先生氣不過,再次致電客服,對(duì)方表示這是審核結(jié)果,無法退款,具體原因不清楚。至于誰在審核,“無可奉告”。

  成先生強(qiáng)調(diào),自己的賬號(hào)和密碼僅用于該蘋果手機(jī)設(shè)備,且賬號(hào)密碼也比較唯一,沒有用于注冊(cè)其他應(yīng)用,怎么會(huì)發(fā)生盜刷情況?他回憶此前購買過15元/月和10元/月的優(yōu)酷、愛奇藝訂閱服務(wù),由于金額較小,他同意開通了自動(dòng)扣款項(xiàng)目。他推測(cè),一定是此前使用了免密支付功能,而盜刷者掌握了他的“路徑”,找到了支付功能漏洞。

  9月是蘋果ID盜刷高峰

  全國受害者超700人

  據(jù)兩位受害者講述,通過微博就能搜索到兩個(gè)“蘋果ID被刷處理”的QQ群,每個(gè)群的成員數(shù)量都已達(dá)300-400多人,兩個(gè)群加起來,人數(shù)起碼在700人以上,分布在全國各地。群成員幾乎都在9月份發(fā)生了被盜刷狀況,累計(jì)被盜刷金額從幾百到上萬元不等。往往在事發(fā)后,才意識(shí)到自己設(shè)置了免密支付,即便知道,也沒有限定免密支付的頻次和額度。大家尋求過警方幫助,但最終只能通過自己與蘋果公司交涉。

  群成員都在尋找盜刷元兇,但都無果。只能亡羊補(bǔ)牢,解綁蘋果設(shè)備上所有支付平臺(tái),取消支付平臺(tái)上的免密支付或自動(dòng)扣款功能,同時(shí)更換蘋果ID賬號(hào)密碼,有人甚至把原ID注銷。

  盜刷者可能利用免密支付漏洞

  單次額度內(nèi)多次扣費(fèi)

  記者登錄蘋果手機(jī)賬戶,查看付款方式的設(shè)置,發(fā)現(xiàn)目前蘋果提供的付款方式有支付寶、微信支付、銀行卡、快捷支付等。記者綁定的是支付寶賬戶,賬戶下方有一行“如需重新綁定請(qǐng)輕點(diǎn)此處”的選項(xiàng),但點(diǎn)擊跳轉(zhuǎn)后,顯示的界面為“同意免密扣款授權(quán)協(xié)議并開通”,為何重新綁定賬戶變成了同意免密支付?

  記者在蘋果手機(jī)上查看付款方式,點(diǎn)擊更換重新綁定賬戶,跳轉(zhuǎn)后的頁面是“同意協(xié)議并開通”免密支付,授權(quán)信息說明模糊。記者在蘋果手機(jī)上查看付款方式,點(diǎn)擊更換重新綁定賬戶,跳轉(zhuǎn)后的頁面是“同意協(xié)議并開通”免密支付,授權(quán)信息說明模糊。

微信也設(shè)置了自動(dòng)扣款功能微信也設(shè)置了自動(dòng)扣款功能微信也設(shè)置了自動(dòng)扣款功能微信也設(shè)置了自動(dòng)扣款功能

  記者查看支付寶免密扣款的協(xié)議內(nèi)容,從頭到尾也未看到扣款的頻次和額度范圍,有一段字體加粗的內(nèi)容:“支付寶只是被授權(quán)指令的執(zhí)行方,除非沒有依照特定第三方的指令進(jìn)行操作,或操作指令錯(cuò)誤,否則支付寶不對(duì)本服務(wù)產(chǎn)生的損失和責(zé)任負(fù)責(zé)”;不加粗的內(nèi)容當(dāng)中,提到“支付寶會(huì)對(duì)您選擇的不同扣款渠道的付款額度做出不同的控制,日付款授權(quán)額度及日授權(quán)次數(shù),均以支付寶向您具體公告的為準(zhǔn)。若超過該限額的話,將會(huì)扣款失敗,無法完成支付”。

  如何控制付款額度?授權(quán)額度和次數(shù)默認(rèn)又是多少?公告又在哪里?不少受害者表示不清楚。

  而支付寶如此介紹免密支付功能:蘋果設(shè)備上充值視頻網(wǎng)站VIP會(huì)員、購買游戲道具或其他付費(fèi)項(xiàng)目時(shí),將通過支付寶自動(dòng)完成支付,“百萬APP和游戲一觸即得”。這些功能與受害者們的經(jīng)歷頗為重合,比如,被盜刷的付費(fèi)項(xiàng)目多用于名不見經(jīng)傳的游戲充值,或者受害者此前使用過免密支付/自動(dòng)扣款的訂閱服務(wù)。

  從實(shí)際損失看,盜刷者的單次盜刷金額基本不會(huì)超過2000元,可見極有可能,盜刷者是利用免密支付的漏洞,通過單次額度內(nèi)多次扣費(fèi)進(jìn)行“盜刷”。

  專家:本質(zhì)上仍是賬號(hào)信息泄露

  建議減少同賬號(hào)多平臺(tái)授權(quán)行為

  對(duì)此,一名從事網(wǎng)絡(luò)安全與優(yōu)化的業(yè)內(nèi)人士告訴記者:盜刷本質(zhì)上還是賬號(hào)、密碼被盜導(dǎo)致。

  賬號(hào)密碼相當(dāng)于所有信息的城墻,如果賬號(hào)密碼被盜,黑客攻入城墻,付款方式的安全漏洞就都暴露出來;借助免密支付、自動(dòng)扣款等方便支付功能的“東風(fēng)”,盜刷就很容易發(fā)生。但大前提,仍然是賬號(hào)安全出了問題。賬號(hào)密碼是用戶自己管理的,如果被盜了,用戶自己有一定責(zé)任,比如密碼設(shè)置太過簡(jiǎn)單;在其他平臺(tái)隨意授權(quán)登錄,被交易流出。這種情況下,蘋果公司不會(huì)賠償。

  請(qǐng)注意,不!會(huì)!賠!償!

  若是蘋果公司自身泄露賬號(hào)或被黑客攻擊泄露,可以要求蘋果公司進(jìn)行賠償,但是普通用戶在舉證方面存在困難。而且蘋果賬號(hào)本身就可以在多個(gè)設(shè)備之間登錄,這給了盜刷者非法操作的空間。從后臺(tái)看,較難判斷是用戶還是盜刷者的操作。

  當(dāng)然,支付平臺(tái)和蘋果公司有義務(wù)在提供免密支付功能時(shí),給用戶提供明 確的支付額度、頻次的選項(xiàng),在授權(quán)前增設(shè)一道加密措施,給用戶的財(cái)產(chǎn)安全增加一道防線。

淮北公安曾對(duì)蘋果ID盜刷行為進(jìn)行過分析淮北公安曾對(duì)蘋果ID盜刷行為進(jìn)行過分析淮北公安曾對(duì)蘋果ID盜刷行為進(jìn)行過分析淮北公安曾對(duì)蘋果ID盜刷行為進(jìn)行過分析

  建議用戶,在設(shè)置相對(duì)復(fù)雜的賬號(hào)和密碼之外,應(yīng)當(dāng)留心各平臺(tái)之間賬號(hào)信息的授權(quán)行為及協(xié)議,盡量減少同賬號(hào)密碼的多平臺(tái)使用,留意免密支付開通的協(xié)議及更新內(nèi)容,管理好自己的免密支付額度和頻次限額。