fsebugoutzone.org:9999

       Post AY1bHz2b1w4a1xpusK by fangluo@nekoland.fangluo.top
 (DIR) More posts by fangluo@nekoland.fangluo.top
 (DIR) Post #AY1MtNK8DAqqkEPToO by bgme@bgme.me
       2023-07-24T13:45:25Z
       
       0 likes, 3 repeats
       
       《家人的 Apple ID 开了双重认证，仍然被钓鱼，求大佬解惑，也顺便给大家提个醒》https://v2ex.com/t/959041?p=1https://web.archive.org/web/20230724133122/https://v2ex.com/t/959041?p=1https://v2ex.com/t/959041?p=2https://web.archive.org/web/20230724132050/https://v2ex.com/t/959041?p=2强烈建议时间线上的各位绒友（尤其是苹果用户）仔细阅读一下这个贴子（包括回复）。在这个贴子中，楼主讲述了自己家人被骗取 Apple ID ，随后通过免密支付盗刷20多笔订单，共计1.6万的经历。其中的要点是骗子如何通过伪造页面骗取 Apple ID 密码，以及如何绕过 F2A 认证添加信任号码的流程。
       
 (DIR) Post #AY1Oxfgq4H8um0CvUu by 11037@misaka.social
       2023-07-24T14:05:53.865Z
       
       0 likes, 0 repeats
       
       @bgme@bgme.me 是 2FA（以及看样子用 security key 可以缓解这种攻击？
       
 (DIR) Post #AY1OxjvWJdGNuh6hw8 by bgme@bgme.me
       2023-07-24T14:08:35Z
       
       0 likes, 0 repeats
       
       @11037 多谢提醒。security key 可能也没用。89楼的回复说的还是挻清楚的。&gt; 对方在 App 内置了一个 Webview ，然后访问 appleid.apple.com/sign-in ，这一步系统会出现 Apple ID 的弹窗，如果人脸识别通过了或者输入了正确的密码，这个页面就登录了（可以理解为在内置的 safafi 打开了 Apple ID 的登录页面）。（因为是本机鉴权，所以不需要 2fa ）&gt; 下来会出现密码弹窗，受害者输入密码之后，这个 Webview 可以注入一些 js 获取到 Cookie ，然后访问 appleid.apple.com/account/manage ，通过一些自动接收验证码的机制，配合 Cookie 和密码，就可以在受害者 Apple ID 的信任号码中加入他自己的号码，用来接收双重认证的短信。
       
 (DIR) Post #AY1PiZ6uLeHfyflIDw by kakaeal@unstable.icu
       2023-07-24T14:17:03Z
       
       0 likes, 1 repeats
       
       @bgme 转载一条推：Baye aka 威力狈：看到 v2ex 这个被骗的热贴，跟大家分享下我一直在用的小技巧分辨是否在被钓鱼：我每次看到让输入 Apple ID 密码的弹窗都会用 Home手势/键 尝试关一下，如果关不了说明是 iOS 系统弹的，可以输入密码。如果能关掉，那肯定是 App 伪装的弹窗要骗你密码。---https://twitter.com/waylybaye/status/1683465059174068224
       
 (DIR) Post #AY1bHz2b1w4a1xpusK by fangluo@nekoland.fangluo.top
       2023-07-24T16:26:42Z
       
       0 likes, 0 repeats
       
       @bgme 这个钓鱼最大的疑点就在于faceid认证通过之后AppleID登录就已经成功了，但是应用还弹窗要密码明显就是钓鱼🤔不过对不了解AppleID登录的人来说绝对有足够大的迷惑性🤔（那个AppLe莫名其妙的L大写也很可疑，看到这种大小写错误的想都不用想肯定是钓鱼）
       
 (DIR) Post #AY2WWYjcoQB6Av3Ncu by 0day@masto.ai
       2023-07-25T03:08:01Z
       
       0 likes, 0 repeats
       
       @bgme 他绑了一个信用卡，然后被某App破解，那这个是苹果的责任，苹果赔偿。苹果怎么说
       
 (DIR) Post #AY2c8oxhQd1bHFhVHk by bgme@bgme.me
       2023-07-25T04:10:59Z
       
       0 likes, 0 repeats
       
       @0day
       
 (DIR) Post #AY2qzH01pTh8ePhAwK by 0day@masto.ai
       2023-07-25T06:57:20Z
       
       0 likes, 0 repeats
       
       @bgme 理论上，还是可以起诉苹果，这个属于支付漏洞。免密支付有漏洞，责任在苹果。也可以找银行，这是盗刷，可以追回。另外，如果某个支付系统在每次交易发生后，不能实时报告给付款者，都要尽量远离。