【原】对于假客服，苹果除了警告用户其实束手无策

三易生活 2021-01-15

展开全文

作为全球最知名的科技公司，苹果可谓是始终处于聚光灯之下。日前，在库克现身“股神”巴菲特的伯克希尔-哈撒韦年度股东大会之时，苹果方面也并没有闲着。根据福布斯近日的报道显示，苹果方面警告iPhone用户不要接听自家客服主动打来的电话，除非在使用官方在线客服页面，并要求客服致电的情况下才行。

苹果发了则没啥用的预警

这句话听起来好像是前后矛盾且毫无意义的说法，实际上苹果的意思是，最近出现了一系列自称是官方客服的网络诈骗团伙，通过冒充客服电话，使得用户认为这是一通来自苹果官方的电话，然后用各种话术让其认为自己的Apple ID不安全，最后骗取账号密码、iCloud凭证，以及验证码。

173642243256214848472216timg (1).jpg

当然，这种通过网络钓鱼的方式骗取用户Apple ID的行为其实一直都没有停歇过。稍微用搜索一下就能发现，关于Apple ID被盗导致账户余额被盗刷的消息几乎是屡见不鲜，而苹果方面也只能不痛不痒发个声明表示，对于网络钓鱼诈骗造成的不便表示遗憾/深深的歉意。

没错，在此之前各种关于苹果用户的钓鱼诈骗案被曝光时，苹果往往都是“事后诸葛亮”，但没有诉苦就没有反应，基本不会发布类似今天的预警。目前我们也无法得知到底苹果的转变，是否与如今意图更加专注服务业务，并维护更好的用户体验有关。

173650100519u=3118478801,1900559969&fm=173&app=49&f=JPEG.jpg

通常来说，由于Apple ID是以有效电子邮件地址为基础创建的，针对电子邮箱进行钓鱼攻击是很久之前黑产所常用的方式。但是通过电子邮箱提供方多年来不断的技术更新和反垃圾邮件机制，这种邮件其实已经很难被目标真正收到，因此更为直接的电话方式也就出现了。

Apple ID很值钱，而苹果用户也不难骗

对于黑产来说，想要完成一次精准的钓鱼行为，首先需要知道目标的具体属性，不然出现冒充苹果给Android用户打电话的场景就很尴尬了。而用户数据是怎么流出来的呢？数据黑市其实很早就已经成形，无论是能够收集用户数据的厂商有人监守自盗，还是安全机制不到位被拖库，各种装有用户身份信息的“信封”几乎已经是烂大街的现状，让钓鱼团伙能够很轻易通过各种“信封”的交叉比对，来分辨这个电话号码的使用者是归属于Android还是iOS阵营。

173657270983173025120439163820291757141118334814132.jpg

尽管苹果一直在强调，“我们强烈建议所有用户启用双层身份验证，以防止他人未经授权访问其帐户”，但人才是安全体系中最大的漏洞，几乎任何厂商基本上都拿用户主动的泄漏行为没有办法。

之所以苹果用户会成为网络诈骗团伙眼中的香饽饽，最大的原因则是因为“怀璧其罪”。根据外媒针对暗网数据交易的统计，除了最敏感的金融类账号信息之外，Apple ID的“售价”高达15.39美元，是暗网上价格最高的账号信息之一。而Apple ID之所以非常重要，是因为iOS生态下大量服务都需要通过Apple ID来获取，与用户的财产是有着强关联的。

173702731110timg (1).jpg

在许多数据统计机构的统计中，iOS用户的消费能力与付费意愿要远高于Android用户，而且由于购买iPhone的人群中除了醉心于iOS流畅体验的用户之外，还有相当一部分是因为iOS对于小白用户友好度而来的中老年消费者，而这恰恰正是网络诈骗的重灾区。

拿到了用户电话之后，就到了最关键的拨打电话环节。为了最大限度取信于人，自然也需要包装一下自己，毕竟随便一个电话打过来自称是苹果工作人员就让你乖乖交出密码，这说服力显然也是在侮辱人了。

黑产通过大名鼎鼎的“改号神器软件”，就能够将自己包装成拥有苹果客服电话的官方团队，受害者这边显示的与常规苹果官方支持热线一模一样的电话号码，看起来也是真的不能再真。而改号软件实质是一种非法经营的VoIP（网络电话）软件，由于大家平常所用的来电显示，是将语音数据和控制信令分开识别的，其中电话号码通过信令信道单独传送，因此改号软件将语音数据与控制信令一起打包成IP数据包传输，从源头就实现了改号。

推广两步验证困难重重

至于说苹果力荐的两步验证到底安不安全呢？其实并没有大家想象的那样绝对安全。而两步验证不安全的原因，通常并非这一方式本身，而是作为遗失密钥之后关联的恢复方案。通常情况下，恢复方案是应用在用户不能够接触到两步验证设备时采取的后备手段，类似于备用钥匙。但是一般来说这种“备用钥匙”基本是依靠短信来实现，而使用短信验证码被拦截的方法，则可谓是多种多样。

173712749985QQ截图20190506170841.jpg

虽然有两步验证不代表绝对安全，但是多一重保险总是好的，毕竟完全免受诈骗者的社会工程学攻击是极其困难的，一些基本保护机制变是完全有必要的。而苹果方面也表示，尽管在一直鼓励用户将帐户升级为双因素身份验证提升安全性，但仍然有相当大比例的用户群并没有启用该功能。

没错，看到这里你可能会问了，为啥苹果不强制要求每一位用户都开启两步验证，这样不是会极大程度的减少出现被钓鱼诈骗的情况吗。

173718699167QQ截图20190506170924.jpg

我们推测，苹果其实也很想要这么做，但现实却真的很骨感。此前，美国消费者曾经通过集体诉讼的方式起诉苹果，原因正是这个两步验证功能，这些用户表示，在每次打开苹果设备时都需要进行双因素身份验证，“干扰他们使用个人设备，并浪费本来可以简单登录的额外时间”，理由也就是冗长的多步骤登陆过程，浪费了用户太多的时间。

what？估计苹果看到后完全能够回答，“好心当作驴肝肺是种什么样的体验”。仅仅是提供了这项功能就已经被告上法庭，如果再强制，估计苹果的法务部要施行“007”工作制了。所以你就会看到，其只能发布这样一些预警来劝告用户，我们客服没事并不会打电话推销，也肯定不会要你的账号密码。

173722373435u=81920350,3499097176&fm=173&app=49&f=JPEG.jpg