iPhone 越獄被盜刷信用卡!只因為他們沒做好這些安全措施


安全風險的到來總是猝不及防。盤古團隊發佈 iOS 9.2-9.3.3 越獄工具還不到一週,就有不少越獄玩家相繼曝光,稱自己的 PayPal 帳號在越獄後被盜刷。

如今的越獄圈子已非早期那麼簡單。在這一週裏,這些用户究竟遇見了多麼心驚膽戰的經歷?


(圖片來自:wehuntedthemammoth

只持續了 1 小時的新鮮感,瞬間被危機取代

時間:2016 年 7 月 25 日

越獄對象:升級至 iOS 9.3.3 的 iPhone 6

升級環境:一台為圖形設計而裝配的 Windows 10 台式機


(圖片來自:9to5Mac

Reddit 用户 MacOda 正是在這樣的條件下,用盤古最新發布的工具進行了一次越獄。在越獄之後,MacOda 安裝了 PokemonGoAnywhere、Masterball、PP 助手應用商店這幾個插件。

不過,這位“有着多年越獄經驗”的老用户似乎並沒有從這次越獄中得到好處。僅僅一個小時後,有人暗地裏登錄了他的 PayPal 帳號,向另一個 PayPal 賬户轉了 50 美元。這個不知道身處何地的黑客還曾嘗試盜刷 MacOda 的信用卡,但銀行的保護機制及時排除了危機。


(圖片來自:果殼網

在 Reddit 的越獄討論區裏,有同樣遭遇的用户紛紛回帖投訴。捲進此次漏洞風波的不只有 PayPal、信用卡,還有 Facebook。

MacOda 公開自己的經歷後,iOS 越獄界的祖師爺、Cydia 的開發者 Saurik 站了出來,他表示自己相信盤古團隊:

引用我很信任盤古團隊,但我不確定中文版的越獄程序是否完全在盤古團隊的掌控之下。我敢打賭,儘管我們需要在 PP 助手上下載英文版,但這個版本只有盤古團隊的成員接觸過。


(Saurik 本尊,圖片來自:YouTube

給 iOS 設備越獄這事兒,在 iPhone 4 時代的中國還非常流行。隨着 App Store 在中國的使用體驗日益進步,很多原本需要通過越獄實現的系統功能也繼承到新的 iOS 裏,越獄已經逐步淡出了大眾的視線。

不過無論越不越獄,總會有不法分子希望拿到你手機裏的機密信息。如果你能夠按照愛範兒(微信號:ifanr)的建議,合理設置自己的數碼設備和帳號,即使是最強大的黑客也不一定能刷爆你的信用卡,知道你在網絡上隱藏起來的小祕密。

不想丟錢,就請用正確的方法綁定銀行卡

別以為不越獄就不會丟錢,事實上會導致盜刷的漏洞可能存在於任何一款 app,比如 Uber。此前就有不少 Uber 用户投訴稱自己的 Uber 帳號被盜,盜號者通過這些帳號刷單,刷單的同時盜刷了用户的信用卡。

其實只要換種姿勢綁定支付方式,就能一定程度上降低風險。


儘可能不要直接綁定信用卡

信用卡,顧名思義與個人的徵信記錄有關。對於信用卡用户而言,丟錢還算是小事,萬一降低自己的信用度,那可是會影響一輩子的,所以避免直接將信用卡與 app 綁定。

不將雞蛋放在一個籃子裏

200 萬餘額的儲蓄卡曬起來倍有面子,但如果你直接把如此高額的儲蓄卡綁定在支付寶、微信、App Store,那就是想讓自己成為黑客的受害者了。任何時候都不要將自己的主力銀行卡與網絡支付綁定。

玩轉互聯網,你還可以用這些措施保護自己

除了財產損失,信息安全風險還有帶來一些更常見的問題,比如上文提到的盜號,手機重要資料的丟失和硬件故障。

不要拿主力機體驗開發者的日常

在 iOS 10 開發者預覽版發佈時,愛範兒(微信號:ifanr)已經提醒過

引用如果有同學想嚐鮮,千萬不要拿自己的主力手機來冒險。


現在的智能手機承載着太多的東西——銀行帳號、情侶自拍、與商業夥伴的微信聊天記錄、重要短信……除非進行了 100% 完整的信息備份,否則請不要輕易用主力手機越獄、刷最新的開發者預覽版系統。

管理好自己的密碼!

密碼安全這事兒已經是老生常談了,這一次,愛範兒(微信號:ifanr)來介紹點更加高級的密碼管理方法。

首先,是選擇一款靠譜的密碼管理服務。一位在 Google 從事運維工作的員工向愛範兒(微信號:ifanr)推薦了 LastPass。這款於 2008 年上線的密碼管理器至今還未出現過數據泄露的事故。


如果你選擇了 LastPass、1Password 等密碼管理軟件,還可以活用軟件內置的隨機密碼生成功能,生成一個毫無規律可言的隨機密碼,最大限度降低密碼被破解的風險。

其次,在 GoogleApple ID 等重要帳號中啟用兩步驗證(2 Factor Authentication)。開啟兩步驗證後,登錄對應帳號時除了輸入密碼外,還要輸入一個有時效性的驗證碼。除非你的手機也落入了他人手中,否則要破解兩步驗證是非常困難的。


最後,也是最重要的一點——時刻保持警惕!犯罪分子入侵你帳號的方法不只有破解密碼,還可以讓你親口説出來,比如設置一個假的客服電話。
他們還有可能給你發一個假的網站,並以“重要通知”的形式引誘你輸入正確的帳號、密碼。在寫這篇文章的時候,我剛好收到了這樣的短信,為此文完整性補上了一個重要的素材,呵呵。


所以,任何時候都不要在看起來不太正常的網站中輸入密碼。如何識別這些有問題的網站?最簡單直接的方法就是看網站域名,只要看起來不正常,那就是不正常的網頁。以上面的短信截圖為例,蘋果的域名絕不可能是“icloud-qq”。

總之,不要輕易登錄來路不明的網站、看起來很官方的“官方通知”,不要隨便輸入帳號密碼。


(圖片來自:giphy

好了,對於普通用户而言,只要能按以上這些方法玩機,就不需要太過擔心帳號安全,也不用因為害怕銀行卡被盜刷而拒絕移動支付。

如果你身邊有親朋好友對最近頻頻出現的 iPhone 被“綁架”憂心忡忡,不知道怎麼管理眾多帳號和密碼,不妨把這篇文章轉給他們看看。

題圖來自:HDW7


資料來源:愛範兒(ifanr)

如果喜歡我們的文章,請即分享到︰