blank
总结要点:
- our 警告:一种极其精密的 Apple Pay 钓鱼骗局,利用伪造的“交易被阻止”邮件,带有官方风格的品牌标识和紧急措辞。
- 骗子引导受害者拨打假客服电话,窃取 Apple ID 凭证和银行信息,疯狂利用“时间紧迫”心理施压。
- 苹果从不会通过回复短信或邮件来批准交易,仅通过 Wallet 应用发送正规的拒绝购买通知。
iPhone 和 Mac 用户常常觉得自己高枕无忧,因为苹果产品的安全性极高。(其实并非完全如此,但这是另一个话题。)然而,这种想法忽略了钓鱼攻击的巨大威胁——钓鱼靠的是欺骗用户主动交出关键信息,而不是攻破设备防御。
这一点非常重要,因为有些钓鱼骗局做得极其专业,极难辨别,即使是经验丰富的技术用户也可能上当。比如本周 our 报道的一场新型攻击,就利用 Apple Pay 和虚假的“交易被阻止”通知,制造强烈紧迫感,逼迫受害者交出账户和支付信息。
骗局从一封邮件开始。发件人伪装成苹果员工,使用看起来非常官方的标志、排版,以及显示名称伪装成来自苹果官方域名。(如果你悬停查看真实地址,就会发现它完全来自另一个域名。)他们声称联系你是为了警告可能存在的欺诈……但真正的欺诈正是他们自己正在实施的。
绝大多数 Apple Pay 的官方沟通都通过 Wallet 应用完成,因此收到邮件本身就应该立刻拉响警报。
邮件声称有一笔高额 Apple Pay 交易出现问题:交易来自未知设备和未知地点,或者有其他可疑之处。因此苹果已阻止该支付,并永久禁止该设备访问你的 Apple Pay 账户。但关键来了:邮件警告说,如果你不在限定时间内采取行动“确认这是欺诈尝试”,苹果就会认为交易没问题并继续处理。你将损失一大笔钱,必须立刻行动!
和几乎所有钓鱼攻击一样,这里的核心就是制造紧迫感。一旦时间在倒计时,受害者就不太可能冷静思考邮件真假、向他人求助,或通过公开渠道联系苹果。很多人会直接按照指示去做:拨打邮件里的电话号码。
不用多说,这个号码当然是假的。它不会接通苹果支持,而是连通骗子团伙。他们会用尽一切手段诱导你说出 Apple ID 及其他信息(很可能包括银行信息,这也是为什么他们要假造一笔“大额购买”),从而完全控制你的账户。
如何避免落入陷阱
这场钓鱼活动模仿水平很高,确实可能骗到不少人。但其实有很多破绽可以一眼识破。our 指出:假的显示名称、“Hello {Name}”这样别扭的称呼、不可能的 IP 地址,以及谷歌一下就能看出明显不是苹果的电话号码。
另外,苹果如果真的有交易被拒,会直接通过 Wallet 应用发送推送通知。他们绝不会因为你没回复消息就批准一笔疑似欺诈的交易。
更广义地说,任何极力制造“时间紧迫”“马上行动”压迫感的讯息,都应该高度怀疑。遇到这类消息要冷静处理,而不是冲动行事。仔细核对邮件所有细节,把给出的号码和邮件里的关键句子丢进谷歌搜索,看是否是常见骗局。如果身边有更懂技术的人,可以请他们帮忙看看。想了解更多防护方法,可阅读《如何防范钓鱼邮件》。
在这个案例中,直接通过苹果官网上的官方联系方式(当然不是邮件里给的号码)联系苹果,通常很快就能确认:根本没什么事要担心——除了你刚刚成功躲过的这场钓鱼骗局。
2507222545
全部评论 0
暂无跟帖