Apple ID被盜刷，損失的錢該怎麼追回來

隨著以支付寶與微信支付為代表的移動支付方式深入人心，其已經介入我們日常生活的方方面面，即使是壁壘森嚴如蘋果，在也同樣需要擁抱這兩大支付巨頭。不過在大家享受iOS平台上使用支付寶的便捷之餘，也同樣有不法分子悄然盯上了這塊「蛋糕」。

昨晚，支付寶官方微博發布了關於蘋果手機的安全提示，並表示已經檢測到部分蘋果用戶Apple ID被盜，由此帶來綁定的支付工具遭遇資金損失。目前，蘋果方面已回復表示正在積極解決，支付寶方面建議此類用戶調低免密支付額度，以最大限度保護資金安全。

實際上進入8月以來，關於Apple ID被盜刷的新聞就不絕於耳，此次支付寶官方對外發布公告，很可能是因為收到各類諮詢投訴實在太多，需要對用戶做出統一的說明。

而對於蘋果來說，Apple ID在其生態中的重要性不言而喻，幾乎所有與蘋果關聯乃至部分第三方服務都需要通過Apple ID來獲取。並且由於Apple ID關聯大量個人信息，因此對其安全防護也同樣傾注了大量的心血，一直以來攻破屏障的難度也非常高，存儲包括Apple ID等各類密碼的iCloud鑰匙串，採用的是AES-128加密，而類似iMessages信息的加密技術，也同屬於目前公認極為安全的對稱加密演算法。

Apple ID是怎麼被盜的？

既然蘋果對於賬號安全的防護周密，黑客又是如何盜取Apple ID的呢？可能出乎絕大多數人的意料，在為數眾多的案例中，都是受害人「主動」向黑客提供了賬號密碼。通常黑客最常見的手段就是「釣魚」，例如收到一封與蘋果官方信息類似的郵件，其具有相同的字體、格式、語法，甚至Apple Logo等等元素，表示你的賬戶出現問題，請「點擊此處重置您的密碼」，並附上一串URL，如果沒有仔細觀察發信人信息，用戶一旦點開並進行輸入，也就意味著Apple ID與密碼相當於主動交給了對方。

當然，「釣魚」這種手法儘管老而彌堅，許多用戶已經有了防範心態，自然相應的手段也推陳出新。現在出現了一種新穎的方式——山寨熱門手游，並且只能用Game Center登陸，此後自然也就變成了類似的套路。

此外撞庫也是一大途徑，一旦用戶的密碼信息在某一個薄弱環節被泄露，黑客就會利用這些賬號密碼去嘗試登陸用戶的重要服務，例如QQ、微信、支付寶和Apple ID等等。如果說上述途徑都行不通，他們還會盯上你的郵箱，眾所周知，Apple ID也是郵箱賬戶，一旦郵箱被盜，盜竊者會直接在蘋果官網申請密碼重置，就能方便的使用密碼重置郵件來修改Apple ID中的密碼了。

另外一個需要提出的事實是，在2016年11月1日App Store接入支付寶之前，黑客拿到你的Apple ID，基本上除了盜刷賬戶餘額或是綁定的信用卡之外，就只能搞一搞「鎖機勒索」。但是這種方式可以憑藉購買設備的發票等實體信息追回，並且被盜刷的資金也是會被蘋果退款。

但是在支付寶接入之後，小額免密功能的出現，就讓情況變得異常複雜。因為一旦開通這一功能，就能用Apple ID直接消費支付寶里的錢，這樣的盜刷由於很難界定行為主體是否為用戶本身，並且責任也並不全在蘋果身上，因此通常也不會進行退款操作。

蘋果不會理賠，支付寶同樣也不會進行賠償，在其免密支付協議中已經有過相關表述，「支付寶只是被授權指令的執行方，除非沒有依照特定第三方的指令進行操作，或操作指令錯誤，否則支付寶不對本服務產生的損失和責任負責」。

以正合以奇勝，拿到退款也有招

那麼真的沒辦法拿回被盜的財產呢?事實上還是有的，作為一家極端注重用戶體驗的企業，蘋果雖然在紙面上表示只能「同情」並不會賠償，但是請遵照下列操作步驟，依舊有一定的幾率得到退款。致電蘋果客服——「系統判定無法退款」——再次致電蘋果高級客服——高級客服通過申請or不通過後申請工程部調查。通常在這一系列操作接入高級客服之後，蘋果就會發郵件告訴你「這是一次破例的退款」。

這通操作並不困難，唯一要注意的是使用這一套操作之後，您在日後的正常消費之後再次退款就會面臨一定的難度。歸根結底還是海外企業普遍都極其相信用戶，但是它也僅僅是一式「奇招」，可一可二不可三。

君不見，《孫子兵法》上就寫到，「凡戰者，以正合，以奇勝」。在出奇制勝之外，最正面的做法當然是要加強自我保護了。除了按照支付寶建議的調低免密支付的安全月限額之外，開啟Apple ID的「兩步驗證功能」也是極其必須的一步，因為同時攻破手機和郵箱，比單單盜竊郵箱在難度上有著指數級的提升。

其實，Apple ID和支付寶兩者接入之後帶來的盜刷僅僅是個縮影，更為嚴重和混亂的是，各大APP互相授權帶來的監管空白。比如說，在當下用戶越來越不願意註冊賬號的情況下，很多網站為了引流和留存，開通了「授權登錄」體系，通常涵蓋了QQ、微信、支付寶、微博等常用賬號。

可是儘管目前經常採用的oauth協議本身安全，但架不住某些中小網站的技術有限，通過支付寶及QQ等賬號登陸這些網站的「access token」也面臨著一定的安全隱患。因此，對於自身賬號安全擔憂的朋友，不妨登陸QQ互聯、微博「我的應用」、支付寶「通用-授權管理」等方式，來檢查自己的授權登錄，對於不再使用的授權，還是儘快取消的好。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！