v2ex 上有人分享了一个被 iOS 假弹窗钓鱼后损失惨重的经历。iOS 假弹窗问题由来以久,但这次分享中遇到的是开启了双重验证的账号也未能幸免。
简单介绍就是:
1. 盗号者上架一个容易被下载的 app。
2.app 中放置一个假冒的 Apple ID 登录功能(但实际上它是植入在 app 中的登录苹果 Apple ID 官网 appleid.apple.com 的页面)。
3. 跳出一个假冒系统弹窗,要求输入 Apple ID 密码(实际上你输入密码后,盗号者在这里就成功登录到你的 Apple ID 官网了)。
4. 盗号者把自己的手机号码(Google Voice)加入双重认证的信任号码中。
5. 盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号内购虚拟商品。
・从爆破盗号者网站后台来看,受害者已经有好几万了。
・有人分享识别真假系统弹窗的方法:试试在弹窗页面能不能返回到桌面(上划或者按 Home 键),真弹窗返回不了,假弹窗可以。
来源:https://www.v2ex.com/t/959041
via 匿名
