V2EX 有一個(gè)帖子《家人的 Apple ID 開(kāi)了雙重認(rèn)證，仍然被釣魚(yú)，求大佬解惑，也順便給大家提個(gè)醒》，詳細(xì)描述了一個(gè)新的詐騙過(guò)程：在 Apple ID 開(kāi)通雙重認(rèn)證的情況下，被高仿的李鬼 App 誘騙出密碼，并被添加信任號(hào)碼、家庭共享，再通過(guò)家庭共享成員完成消費(fèi)。但整個(gè)過(guò)程中，原設(shè)備并未出現(xiàn)新設(shè)備登錄時(shí)需要的雙重認(rèn)證驗(yàn)證碼，也就是說(shuō)雙重驗(yàn)證并未起作用。

在那個(gè)帖子中，具體的被騙步驟是這樣的：

丈母娘曾經(jīng)在某 App 購(gòu)買(mǎi)虛擬商品，App Store 綁定了微信免密支付。

7 月 11 號(hào)下午，丈母娘在 Apple Store 上下載了一個(gè)叫 “菜譜大全” 的 App ，它的登錄方式是 Apple ID 授權(quán)，這一步如果沒(méi)有開(kāi)啟 iCloud+ 隱藏郵件地址的話，Apple ID 賬號(hào)就會(huì)泄露，如圖

接著，會(huì)出來(lái)一個(gè)跟 App Store 長(zhǎng)得非常像的密碼輸入框，大家如果經(jīng)常安裝 App ，人臉識(shí)別失敗的時(shí)候，就會(huì)有這個(gè)密碼輸入框，不熟悉 App Store 登錄流程的話，很容易中招，如圖

有了 Apple ID 的賬號(hào)和密碼，就可以登錄了，這一步我跟丈母娘反復(fù)確認(rèn)了，她沒(méi)有見(jiàn)過(guò)雙重認(rèn)證的彈窗。

登錄之后，他會(huì)把自己的號(hào)碼，加入雙重認(rèn)證的信任號(hào)碼中，目的是為了后續(xù)的登錄可以通過(guò)自己認(rèn)證

到這一步，他已經(jīng)掌握了受害者 Apple ID 的所有權(quán)限。

接下來(lái)，盜號(hào)者并不會(huì)直接用 Apple ID 下單支付，而是會(huì)創(chuàng)建一個(gè)家庭共享，加入另一個(gè)賬號(hào)，由這個(gè)賬號(hào)購(gòu)買(mǎi) App 中的虛擬商品

疑問(wèn)

整個(gè)釣魚(yú)過(guò)程，我有一點(diǎn)不太理解，在開(kāi)啟了雙重認(rèn)證的情況下，除非我丈母娘主動(dòng)輸入驗(yàn)證碼，否則即使對(duì)方拿到了 Apple ID 的賬號(hào)密碼，應(yīng)該也無(wú)法登錄才對(duì)，這里請(qǐng)大佬幫忙解惑。

以上內(nèi)容來(lái)自原帖。至于為何登錄了新設(shè)備或網(wǎng)頁(yè)而沒(méi)有彈出二次驗(yàn)證，是此事的最大疑問(wèn)。 根據(jù)博主@BugOS 技術(shù)組 的測(cè)試，受信設(shè)備中的應(yīng)用拉起隱藏 WebView 訪問(wèn) appleid.apple.com 無(wú)需雙重驗(yàn)證，這一重大漏洞使得用戶掃個(gè)臉即可登錄。該 App 又用假的對(duì)話框騙取密碼，然后將詐騙者的手機(jī)號(hào)加入雙重認(rèn)證的信任號(hào)碼，直接遠(yuǎn)程抹掉設(shè)備，使用戶無(wú)法接收扣款信息，并進(jìn)行盜刷。

@BugOS 技術(shù)組 表示，當(dāng) iPhone 上出現(xiàn)輸入 Apple ID 密碼的窗口時(shí)，按 Home 鍵或上劃手勢(shì)嘗試退出一下，能退出的都是在詐騙。