本文为寻找中国创客(ID:xjbmaker)原创
记者 / 薛星星
编辑 / 魏佳
九月的发布会一结束,库克就再次来到中国,几天的行程安排的满满当当,既要和时尚摄影师一同体验轮渡、去一家Apple Store和顾客交流,又要和当地政府官员见面、接受媒体采访,还从上海飞到北京,跑去一家学校为Apple产品进入校园进行宣传。
只不过这次,他的中国行可能要蒙上一层阴影。
从9月中旬开始,大量Apple用户在社交媒体上反映自己的Apple ID被盗刷,在自己不知情的情况下在Apple Store中购买多项付费产品,媒体报道称受到影响的国内用户超过700名,损失金额从几千元到几万元不等。
支付宝于昨日在其微博上发布声明,表示在苹果公司没有完全解决相关问题之前,提醒用户可以选择调低苹果支付的免密支付额度以最大限度保护资产安全。
截至目前苹果公司尚未对此事进行公开回应。相关媒体报道称,苹果客服在回复受害者咨询时表示“同情”但无法退款。
女生几分钟内被刷走5000元
在社交媒体上公开搜索,可以找到大量受害者关于自身Apple ID被盗刷经过的描述。在一个名为“苹果ID被刷处理”的QQ群中,受害者们聚集在一起,分享与苹果客服沟通的经过。
但只有少部分人在沟通中得到了全额退款的处理,大部分受害者的处理结果仍为“等候邮件通知”。QQ群中甚至有人精心整理了与苹果客服沟通技巧,详尽列出反馈步骤、注意事项等。
一位在校大学生对寻找中国创客(ID:xjbmaker)表示,10月9日下午8点左右,她的iPhone忽然收到多条短信及邮件提醒,她的Apple账户在短短几分钟内刷走银行卡内的5000元,其中2600多元购买了游戏点券、2000多元被充值到Apple账户之中。
“一扣款就来短信了,但他那边速度太快了,盗刷我这么多钱也就三四分钟的事情。”该用户称,她得知被盗刷的第一时间就迅速将Apple ID绑定银行卡的余额转至朋友的手机上,但最终只转出去3000元。
之后,她向苹果客服拨打电话询问,苹果客服对其表示已确定她的Apple ID被盗,但最终是否退款,“还是说让我等邮件”。
一些用户在群聊中认为,“等邮件”是苹果公司的敷衍行为。他们建议其他受害者一定不要挂断电话,而应继续找更高级别的客服进行沟通。
郑先生是QQ群中为数不多得到成功退款的用户。他的Apple ID在10月8日被盗刷4800多元。“手机在面前放着没动,忽然来了短信和支付宝消息,仅仅不到一分钟就被自动扣了7笔648元和1笔300元,共计4836元。”
其中,7笔648元的扣款都是购买了一个不知名游戏的点券,剩余300元被充到Apple ID的账户之中。
“当时我就给苹果客服打电话,总共转接了四五个客服,提交了两次申请退款都显示失败。最后转接了一个最高权限的客服,后来就顺利退款了。”郑先生告诉寻找中国创客(ID:xjbmaker)。
更多的用户只能继续接受等待的事实。在一个名为“苹果邮件拒退群”的微信群聊中,70多名被盗刷用户均收到了苹果拒绝退款的邮件,有的甚至被拒绝三至四次。
“打了一下午苹果客服电话,他们的说法就是:凡收到邮件说审核未通过的,就是最终结果,没必要再给他们打电话。”一位用户在群聊中表达不满。
建议关闭或调低免密支付额度
这些用户的Apple ID为何会被盗?多名安全专家表示,常见的方式包括伪造钓鱼页面、撞库等。
伪造钓鱼页面通常是先给用户发送邮件或短信,提醒用户账户存在风险,让用户登录伪造的Apple的页面修改密码,用户一旦输入真实账户密码,就会被盗取。撞库则是利用了大部人在不同平台上使用相同账号密码的习惯,利用用户在A平台上丢失的账户密码,登录其在B平台的账户。
10月10日凌晨,支付宝在其微博上发布“关于苹果手机的安全提示”声明,称对于苹果用户ID被盗刷一事,已经多次联系苹果公司并推动其尽快定位被盗原因,提升安全防范水平,并彻底解决用户权益损失的问题。
支付宝在声明中强调,在苹果公司未完全解决问题之前,无论用户的Apple ID绑定了哪种支付方式(包括支付宝、微信支付或者信用卡)都可能出现资金损失风险。
顶象安全技术专家田际云对寻找中国创客(ID:xjbmaker)表示,问题很有可能出现在绑定账户的免密支付环节上。“免密支付虽然很方便,但是却存在安全漏洞。"
在上述用户被盗刷的案例中,盗刷金额均为几百元不等的小额支出,但经过多笔消费后累计支出达到了数千元不等。
墨云安全CEO刘兵也表示,开启小额免密支付后,用户在购买虚拟商品时不需输入密码就可付款,在账户被盗的情况下,很容易就会被不法分子利用。
支付宝同样在声明中提醒用户,可以选择调低苹果支付的免密支付额度以最大限度保护支付宝账户资产安全。
而用户在被盗刷之后,面临的很可能是一个两不管的境地。
记者在微信支付关于苹果免密支付的授权协议中看到,在任何情况下,只要商户向财付通(即微信支付)发出支付指令,财付通就可按照该指令进行资金扣划,而财付通对支付指令的正确性、合法性、完整性、真实性均不承担任何法律责任,相关法律责任由用户和商户自行承担。
支付宝同样在协议中表示,支付宝只是被授权指令的执行方,除非支付宝没有依照相关第三方的指令进行操作,或操作指令错误,否则支付宝不对服务产生的损失和责任负责,相关损失及责任由用户和特定第三方协商解决。
田际云建议,相关用户可以选择关闭免密支付或者调低支付额度,在不购买任何软件或服务的情况下,可以选择不绑定支付账户。
,