近期大量iPhone支付寶被盜刷，扣款上萬元，到底怎麼回事？

10月10日凌晨，支付寶官方微博釋出關於蘋果手機的安全提示，稱檢測到部分蘋果使用者ID被盜，由此帶來ID繫結支付工具遭到資金損失。

（圖片來源：支付寶官微）

支付寶表示，已經多次聯絡蘋果公司並推動其儘快定位被盜原因，提升安全防範水平，並徹底解決使用者權益損失的問題。蘋果公司回覆已經在積極解決。

值得關注的是，受害者都曾使用過免密支付或自動扣款的訂閱服務，付費專案多為遊戲及為蘋果賬號充值。

在蘋果iPhone中文網9月22日的官微裡，也提到了被盜刷的使用者多次在遊戲中被迫充值。

（圖片來源：蘋果iPhone中文網）

在這條微博下也有很多蘋果使用者表示了自己的被盜充值遊戲的遭遇。

（圖片來源：蘋果iPhone中文網）

被盜刷使用者，有的賠、有的不賠

據媒體報導稱，自今年8月份開始，全國各地的蘋果手機使用者頻頻投訴自己的蘋果ID被盜號，繫結的相應支付平臺被用於扣款，最高損失已達上萬元，而上海蘋果中國公司對被盜刷使用者提出的退款申訴表示無法操作。據媒體不完全統計，目前已經有700多名蘋果手機使用者被盜刷。

資金被盜刷的蘋果使用者張先生在10月1號就曾致電蘋果公司，被客服告知需要稽核相關情況，稽核通過即可退款，最後張先生幸運地得到了蘋果公司地退款。

但是，並非所有賬號被盜刷的使用者都得到了退款，正在讀大三的小李10月8號發現自己的賬戶被盜購買了1600多元的遊戲幣，在小李致電蘋果公司後，收到了蘋果官方的郵件，郵件內容顯示：有一筆648元的支出沒有通過稽核，無法拿到退款。小李再次致電蘋果客服時被告知，郵件顯示的就是最終的結果，“他們也沒辦法”。

據瞭解，像小李一樣沒有拿到全部退款的也並不在少數。

律師：蘋果公司未盡到異常登入提示義務，構成違約責任理應賠償

對於蘋果公司拒絕給部分被盜刷使用者退款的行為，北京康達律師事務所律師韓驍認為，蘋果公司作為APP Store的服務提供者，負有保障服務安全的義務。盜刷使用者在另外的蘋果裝置上下載蘋果應用，應屬於異常登入，蘋果公司應盡到異常登入提示的義務，如未盡到此義務而導致使用者ID被盜刷，應負未盡到合理安全保障義務的違約責任，受損失使用者可向蘋果公司索賠。

支付寶建議

10月10日，支付寶微博發文建議，在蘋果公司沒有完全解決這個問題之前，蘋果使用者可以選擇調低免密支付額度以最大限度保護資產安全。

對於蘋果賬戶被盜刷使用者的經濟損失，支付寶工作人員表示，如果繫結的支付平臺是支付寶，使用者應該及時反饋，支付寶會將此情況提交保險公司，由保險公司進行理賠。

（圖片來源：支付寶官微）

專家建議開啟賬戶雙重認證服務

盤古團隊技術總監陳業炫認為，近期會有如此多的蘋果使用者賬戶被盜取，主要是由於這些使用者只採用了簡單的密碼認證來直接登入賬戶。他建議使用者開通蘋果公司提供的蘋果賬戶雙重認證服務，即二步認證，除了要通過輸入賬號和密碼之外，再設定一個簡訊認證登入賬戶。此外，陳業炫還建議，蘋果手機使用者設定一個比較長的密碼，對於不同的賬戶儘量設定不同的密碼，以免出現一個賬戶被盜，多個賬戶受牽連的情況。

遠離手機支付的壞習慣

據“國家應急廣播”報導，資金“隔空”被盜刷或源於“GSM劫持+簡訊嗅探技術”，通過該技術，可實時獲取使用者手機簡訊內容，近而利用各大銀行、網站、移動支付APP存在的漏洞和缺陷，實現資訊竊取、資金盜刷和網路詐騙等犯罪。

目前絕大多數支付類、銀行類APP除簡訊驗證碼，往往還有個人資訊驗證、語音驗證、指紋驗證等二次驗證機制。單憑洩露驗證碼問題不大，絕大多數“中招”的使用者是因為洩露了身份證號等其他重要身份資訊。

因此，首先要做好手機號、身份證號、銀行卡號、支付平臺賬號等敏感的私人資訊保護；其次睡前關機或設定飛航模式，能提高被嗅探的難度；如果手機訊號突然變成2G，要意識到可能遭遇攻擊，並採取以上防禦方式；如果收到奇怪的驗證碼簡訊，一定要及時檢視銀行卡和支付應用，如果發現被盜刷，應保留簡訊內容並報警。

此前淮北公安曾對蘋果ID盜刷行為進行過分析，並建議使用者，在設定相對複雜的賬號和密碼之外，應當留心各平臺之間賬號資訊的授權行為及協議。儘量減少同賬號密碼的多平臺使用，留意免密支付開通的協議及更新內容，管理好自己的免密支付額度和頻次限額。

參考來源：

• 新浪科技
  
• 蘋果iPhone中文網
  
• 中國證券報
  

- End -

更多閱讀：

1、FB被曝收集兒童資訊 多個保護組織呼籲關閉相關應用

2、Google Chrome 70即將釋出 數千個網站或因安全證書受影響​​​​​​​

3、注意！首個物聯網殭屍網路新變種肆虐，大批Android裝置使用者受害

4、網路黑灰產業已近千億 個人資訊洩露是源頭