苹果账户频被盗刷 最高损失已达上万元（2）

9月是苹果ID盗刷高峰 全国受害者超700人

据两位受害者讲述，通过微博就能搜索到两个“苹果ID被刷处理”的QQ群，每个群的成员数量都已达300-400多人，两个群加起来，人数起码在700人以上，分布在全国各地。群成员几乎都在9月份发生了被盗刷状况，累计被盗刷金额从几百到上万元不等。往往在事发后，才意识到自己设置了免密支付，即便知道，也没有限定免密支付的频次和额度。大家寻求过警方帮助，但最终只能通过自己与苹果公司交涉。

群成员都在寻找盗刷元凶，但都无果。只能亡羊补牢，解绑苹果设备上所有支付平台，取消支付平台上的免密支付或自动扣款功能，同时更换苹果ID账号密码，有人甚至把原ID注销。

盗刷者可能利用免密支付漏洞 单次额度内多次扣费

记者登录苹果手机账户，查看付款方式的设置，发现目前苹果提供的付款方式有支付宝、微信支付、银行卡、快捷支付等。记者绑定的是支付宝账户，账户下方有一行“如需重新绑定请轻点此处”的选项，但点击跳转后，显示的界面为“同意免密扣款授权协议并开通”，为何重新绑定账户变成了同意免密支付？授权信息说明模糊。

记者查看支付宝免密扣款的协议内容，从头到尾也未看到扣款的频次和额度范围，有一段字体加粗的内容：“支付宝只是被授权指令的执行方，除非没有依照特定第三方的指令进行操作，或操作指令错误，否则支付宝不对本服务产生的损失和责任负责”；不加粗的内容当中，提到“支付宝会对您选择的不同扣款渠道的付款额度做出不同的控制，日付款授权额度及日授权次数，均以支付宝向您具体公告的为准。若超过该限额的话，将会扣款失败，无法完成支付”。

如何控制付款额度？授权额度和次数默认又是多少？公告又在哪里？不少受害者表示不清楚。

而支付宝如此介绍免密支付功能：苹果设备上充值视频网站VIP会员、购买游戏道具或其他付费项目时，将通过支付宝自动完成支付，“百万APP和游戏一触即得”。这些功能与受害者们的经历颇为重合，比如，被盗刷的付费项目多用于名不见经传的游戏充值，或者受害者此前使用过免密支付/自动扣款的订阅服务。

从实际损失看，盗刷者的单次盗刷金额基本不会超过2000元，可见极有可能，盗刷者是利用免密支付的漏洞，通过单次额度内多次扣费进行“盗刷”。

专家：本质上仍是账号信息泄露建议减少同账号多平台授权行为。对此，一名从事网络安全与优化的业内人士告诉记者：盗刷本质上还是账号、密码被盗导致。

账号密码相当于所有信息的城墙，如果账号密码被盗，黑客攻入城墙，付款方式的安全漏洞就都暴露出来；借助免密支付、自动扣款等方便支付功能的“东风”，盗刷就很容易发生。但大前提，仍然是账号安全出了问题。账号密码是用户自己管理的，如果被盗了，用户自己有一定责任，比如密码设置太过简单；在其他平台随意授权登录，被交易流出。这种情况下，苹果公司不会赔偿。

若是苹果公司自身泄露账号或被黑客攻击泄露，可以要求苹果公司进行赔偿，但是普通用户在举证方面存在困难。而且苹果账号本身就可以在多个设备之间登录，这给了盗刷者非法操作的空间。从后台看，较难判断是用户还是盗刷者的操作。

当然，支付平台和苹果公司有义务在提供免密支付功能时，给用户提供明确的支付额度、频次的选项，在授权前增设一道加密措施，给用户的财产安全增加一道防线。

建议用户，在设置相对复杂的账号和密码之外，应当留心各平台之间账号信息的授权行为及协议，尽量减少同账号密码的多平台使用，留意免密支付开通的协议及更新内容，管理好自己的免密支付额度和频次限额。