可怕！蘋果賬戶出現(xiàn)集體被盜刷！蘋果公司：同情，但無法退款！

　　今天

　　蘋果手機(jī)用戶們注意了！

　　如果你上個月的支付寶賬單金額特別高

　　要！警！惕！

　　趕緊查看一下支付清單

　　有沒有什么奇怪的支出？

　　近日，全國各地的蘋果手機(jī)用戶頻頻投訴自己的蘋果ID被盜號，綁定的相應(yīng)支付平臺被用于扣款，最高損失已達(dá)上萬元，而上海蘋果中國公司對被盜刷用戶提出的退款申訴卻表示無法操作。

　　被盜刷2000多元 蘋果：同情卻無法退款

　　9月24日22時10分，湖北武漢劉女士拿起自己的iPhone6Plus，發(fā)現(xiàn)屏幕中出現(xiàn)了支付寶通知彈窗，顯示22時09分在App Store&Apple Music成功付款1000元；幾秒鐘后，又來了條通知顯示付款1000元。1分鐘后，支付寶告知“成功關(guān)閉Apple，and GCBD for iCloud的App Store，Apple Music，&iCloud由云上貴州運(yùn)營服務(wù)。”

　　劉女士就這樣眼睜睜看著自己的賬戶接連被扣除2000元，又自動關(guān)閉了一項(xiàng)蘋果服務(wù)！

　　隨后，她查看了自己的Apple ID近90天內(nèi)的購買記錄，這讓劉女士大驚失色，顯示，她當(dāng)天為Apple ID“充值”了三筆費(fèi)用，分別是1000元、1000元和100元。她還為一款名叫“魔域口袋版”的游戲“購買”了3筆價值648元的“魔石”，另購買了一款名為“傳奇世界”游戲價值45元和98元的“元寶”。狀態(tài)都是“待付款”，幾分鐘后都變成了“已完成”。“這些游戲，我聞所未聞，更別提下載了。”劉女士一臉困惑。

↑劉女士被盜刷的費(fèi)用用于購買游戲裝備

　　劉女士打開郵箱，發(fā)現(xiàn)蘋果公司當(dāng)晚22時06分發(fā)來一份“操作提醒”郵件，顯示她的蘋果ID在iPhone6上登錄了iCloud。但劉女士僅有iPhone6Plus一臺蘋果設(shè)備，當(dāng)即覺得自己是“被盜號了。”

　　隨后，她又打開支付寶，查找扣款流程，發(fā)現(xiàn)扣費(fèi)先是用了支付寶零錢，不夠扣就自動轉(zhuǎn)為花唄。“

問題來了，平時用支付寶都是使用密碼或指紋，盜刷者是怎么扣除費(fèi)用的呢？”

　　在和其他受害者交流中，劉女士想起此前支付寶通知中有過“關(guān)閉免密支付功能”的提醒，但她怎么也記不起自己什么時候開通過這項(xiàng)服務(wù)，更沒有使用過。她懷疑可能是自己的信息遭泄露，被不法分子利用。

　　她前前后后聯(lián)系蘋果客服“4006668800”8次，但對方除了表示“同情”，就是在提交系統(tǒng)審核后告知其無法退款，沒有理由。劉女士轉(zhuǎn)而向上海消費(fèi)者保護(hù)委員會請求協(xié)助申訴，但蘋果方面此后回復(fù)劉女士的結(jié)果，依然是“系統(tǒng)判定無法退款”。

　　蘋果ID被盜刷頻現(xiàn) 受害者超700人

　　據(jù)報道，上海市民服務(wù)熱線12345接到大量投訴，最近不少人反映自己的蘋果賬戶被莫名盜刷了，最倒霉的一位被盜刷了上萬元。

　　像劉女士這樣的受害者越來越多，大家在網(wǎng)上建了QQ群，每個群的成員數(shù)量都已達(dá)300-400多人，分布在全國各地，目前受害者加起來已經(jīng)超700人。

　　群成員幾乎都在9月份發(fā)生了被盜刷狀況，累計(jì)被盜刷金額從幾百到上萬元不等。事發(fā)后，大家才意識到可能是因?yàn)樽约涸O(shè)置了免密支付，卻沒有限定免密支付的頻次和額度。

　　群成員只能解綁蘋果設(shè)備上所有支付平臺，取消支付平臺上的免密支付或自動扣款功能，同時更換蘋果ID賬號密碼，有人甚至把原ID注銷。

　　盜刷者可能利用免密支付漏洞

　　單次額度內(nèi)多次扣費(fèi)

　　記者登錄蘋果手機(jī)賬戶，查看付款方式的設(shè)置，發(fā)現(xiàn)目前蘋果提供的付款方式有支付寶、微信支付、銀行卡、快捷支付等。記者綁定的是支付寶賬戶，賬戶下方有一行“如需重新綁定請輕點(diǎn)此處”的選項(xiàng)，但點(diǎn)擊跳轉(zhuǎn)后，顯示的界面為“同意免密扣款授權(quán)協(xié)議并開通”，為何重新綁定賬戶變成了同意免密支付？

　　記者在蘋果手機(jī)上查看付款方式，點(diǎn)擊更換重新綁定賬戶，跳轉(zhuǎn)后的頁面是“同意協(xié)議并開通”免密支付，授權(quán)信息說明模糊。

微信也設(shè)置了自動扣款功能

　　記者查看支付寶免密扣款的協(xié)議內(nèi)容，從頭到尾也未看到扣款的頻次和額度范圍，有一段字體加粗的內(nèi)容：“支付寶只是被授權(quán)指令的執(zhí)行方，除非沒有依照特定第三方的指令進(jìn)行操作，或操作指令錯誤，否則支付寶不對本服務(wù)產(chǎn)生的損失和責(zé)任負(fù)責(zé)”；不加粗的內(nèi)容當(dāng)中，提到“支付寶會對您選擇的不同扣款渠道的付款額度做出不同的控制，日付款授權(quán)額度及日授權(quán)次數(shù)，均以支付寶向您具體公告的為準(zhǔn)。若超過該限額的話，將會扣款失敗，無法完成支付”。

　　如何控制付款額度？授權(quán)額度和次數(shù)默認(rèn)又是多少？公告又在哪里？不少受害者表示不清楚。

　　而支付寶如此介紹免密支付功能：蘋果設(shè)備上充值視頻網(wǎng)站VIP會員、購買游戲道具或其他付費(fèi)項(xiàng)目時，將通過支付寶自動完成支付，“百萬APP和游戲一觸即得”。這些功能與受害者們的經(jīng)歷頗為重合，比如，被盜刷的付費(fèi)項(xiàng)目多用于名不見經(jīng)傳的游戲充值，或者受害者此前使用過免密支付/自動扣款的訂閱服務(wù)。

　　從實(shí)際損失看，盜刷者的單次盜刷金額基本不會超過2000元，可見極有可能，盜刷者是利用免密支付的漏洞，通過單次額度內(nèi)多次扣費(fèi)進(jìn)行“盜刷”。

　　支付寶建議：開啟“雙重認(rèn)證”+“安全月限額”

　　對此，一名從事網(wǎng)絡(luò)安全與優(yōu)化的業(yè)內(nèi)人士告訴記者：盜刷本質(zhì)上還是賬號、密碼被盜導(dǎo)致。

　　賬號密碼相當(dāng)于所有信息的城墻，如果賬號密碼被盜，黑客攻入城墻，付款方式的安全漏洞就都暴露出來；借助免密支付、自動扣款等方便支付功能的“東風(fēng)”，盜刷就很容易發(fā)生。但大前提，仍然是賬號安全出了問題。

　　賬號密碼是用戶自己管理的，如果被盜了，用戶自己有一定責(zé)任，比如密碼設(shè)置太過簡單；在其他平臺隨意授權(quán)登錄，被交易流出。這種情況下，蘋果公司不會賠償。

　　請注意，不！會！賠！償！

　　若是蘋果公司自身泄露賬號或被黑客攻擊泄露，可以要求蘋果公司進(jìn)行賠償，但是普通用戶在舉證方面存在困難。而且蘋果賬號本身就可以在多個設(shè)備之間登錄，這給了盜刷者非法操作的空間。從后臺看，較難判斷是用戶還是盜刷者的操作。

　　當(dāng)然，支付平臺和蘋果公司有義務(wù)在提供免密支付功能時，給用戶提供明確的支付額度、頻次的選項(xiàng)，在授權(quán)前增設(shè)一道加密措施，給用戶的財產(chǎn)安全增加一道防線。

淮北公安曾對蘋果ID盜刷行為進(jìn)行過分析

　　建議用戶，在設(shè)置相對復(fù)雜的賬號和密碼之外，應(yīng)當(dāng)留心各平臺之間賬號信息的授權(quán)行為及協(xié)議，盡量減少同賬號密碼的多平臺使用，留意免密支付開通的協(xié)議及更新內(nèi)容，管理好自己的免密支付額度和頻次限額。

　　目前支付寶官方給出的建議是：開啟“雙重認(rèn)證”+“安全月限額”。

趕緊自查！