图@视觉中国
作者 | 市界 高宁
编辑|思远
一个月前,华为副总裁余承东看完苹果新品发布后,冒出一句“稳了”,让人浮想联翩。10月16日,华为在伦敦秀出了精心打造的Mate20,华为新手机稳不稳尚待检验,苹果最近却真的有点晃。
从今年9月份开始,全国各地频繁发生苹果手机用户支付宝账户被盗刷的事件,损失从几百元到上万元不等。
10月16日上午,压力之下的苹果公司就中国用户Apple ID账号被盗一事向媒体发布了声明,称被盗账户遭到了钓鱼诈骗攻击,呼吁用户开启双重认证。那些认定苹果系统存在漏洞的网友,对这一声明并不接受:“苹果甩锅”、“吹捧苹果安全的被打脸了吧”的质疑不绝于耳。
用户ID泄露,真的如苹果公司说的那么“风轻云淡”吗?先来简单回顾一下事件经过,
10月10日,支付宝官方微博发布声明称,苹果ID被盗,免密支付成了不法分子盗刷的入口,呼吁消费者调低免密支付限额保障资金安全。
10月13日,BTV新闻频道等媒体集中报道了苹果账户被盗事件,新闻中提及了一条涉嫌苹果账户非法买卖的黑色产业链,中招的苹果用户很可能是这条黑产链条中的受害者。
10月16日,苹果官方发布声明,强烈建议苹果用户开启双重认证,降低被盗风险。
一系列的曝光与报道引发了网友的论战,阵营分为两拨,一波认为这次被盗事件源于网络钓鱼攻击和黑客“撞库”攻击,与苹果系统无关。
市界()从某网络安全研究员处了解到,网络钓鱼是通过制造一些看起来很像苹果官方发送的邮件,邀请用户填写自己的Apple ID用户名和密码去登录,从而获得Apple ID。“撞库”指的是,黑客从其他的渠道获得同一用户名下其他的密码,通过对比和匹配,获取登录权限进行攻击。从这两种情况来看,苹果账户被盗的确与iphone的系统漏洞无关,更多问题还是出在用户的防范意识上。
而另一波网友并不这样想,认为苹果的声明在推卸责任,注册ID就默认开通免密支付,这样的问题才导致很多人忽略了免密支付的风险。据市界()了解,苹果在其中的确诱导用户开通了免密支付,但并没有权限强制开启这项功能。
当然,在盗刷事件中,苹果作为主体无论如何都负有不可推卸的责任,而搞清楚这种威胁的来源才能更好的避免这类事件的发生。为此市界(ID:)调查了盗刷事件背后的黑产业链条。
从某聊天软件中搜索不难发现,网上贩卖苹果ID账号的社区有很多。某业内人士向市界(ID:)介绍,“以贩卖ID为由收取入群费是这条黑产业链条中的最低级的一环,不少人交钱入会后却拿不到货。”而在一些真实的交易群中,群主往往会打出“Apple ID 白号、全新号”这样的广告。由于苹果ID注册要通过实名、电话号码和邮箱的审核,卖家口中“靠机器每天注册上万条”这样的说法并不可信。因此,最有效的获取渠道就是黑客通过钓鱼和“撞库”来盗取ID,非法买卖。
对于通过发送手机验证码来核实身份仍不安全的疑虑,业内人士表示,以网络安全专业角度来考虑,想要实现绝对的安全是不可能的。腾讯首席网络安全专家TK教主于旸曾说过,“最大的漏洞还是人”,所以不能提高防范意识的话,纯粹依靠安全技术是无法实现有效的防护的。换句话说,虽然圈内认为IOS系统的安全性要比市场主流的安卓系统更强(主要原因是IOS的白名单机制),但是如果使用者不注意防范,频繁使用简单重复的密码,安全性仍然得不到保障。
华为是苹果手机一个强有力的竞争者,9月13号,苹果新机发布后,由于缺乏突破性的创新以及高企的价格,新机并未达到一些网友的预期,不仅华为副总裁余承东在微博发文“稳了”,华为官方推特的视频中也来了一句:“Thank you for keeping things the same.See you in London.16.10.18。”(感谢你保持不变,我们10月16日伦敦见。)这一句“稳了”,让很多人对华为新手机也充满了好奇。10月16日,华为mate20的伦敦发布会如期而至,超广角、超微距、双向无线快充、3D结构光、屏下指纹、石墨烯等诸多黑科技集于一身,但是,市场反应是否如余承东所说的“稳了”,还需要销量的检验。
(来源:市界Newsseeker的财富号 2018-10-18 08:49) [点击查看原文]
本文作者可以追加内容哦 !
