昨天，看到個v2ex 被騙的熱貼詳細描述了一個新的詐騙過程：在 Apple ID 開通雙重認證的情況下，被高仿的李鬼 App 誘騙出密碼，并被添加信任號碼、家庭共享，再通過家庭共享成員完成消費。但整個過程中，原設(shè)備并未出現(xiàn)新設(shè)備登錄時需要的雙重認證驗證碼，也就是說雙重驗證并未起作用。

在那個帖子中，具體的被騙步驟是這樣的：

• 丈母娘曾經(jīng)在某 App 購買虛擬商品，App Store 綁定了微信免密支付。

• 7 月 11 號下午，丈母娘在 Apple Store 上下載了一個叫 “菜譜大全” 的 App ，它的登錄方式是 Apple ID 授權(quán)，這一步如果沒有開啟 iCloud+ 隱藏郵件地址的話，Apple ID 賬號就會泄露，如圖

• 接著，會出來一個跟 App Store 長得非常像的密碼輸入框，大家如果經(jīng)常安裝 App ，人臉識別失敗的時候，就會有這個密碼輸入框，不熟悉 App Store 登錄流程的話，很容易中招，如圖

• 有了 Apple ID 的賬號和密碼，就可以登錄了，這一步我跟丈母娘反復(fù)確認了，她沒有見過雙重認證的彈窗。

• 登錄之后，他會把自己的號碼，加入雙重認證的信任號碼中，目的是為了后續(xù)的登錄可以通過自己認證

• 到這一步，他已經(jīng)掌握了受害者 Apple ID 的所有權(quán)限。

• 接下來，盜號者并不會直接用 Apple ID 下單支付，而是會創(chuàng)建一個家庭共享，加入另一個賬號，由這個賬號購買 App 中的虛擬商品

疑問

整個釣魚過程，我有一點不太理解，在開啟了雙重認證的情況下，除非我丈母娘主動輸入驗證碼，否則即使對方拿到了 Apple ID 的賬號密碼，應(yīng)該也無法登錄才對，這里請大佬幫忙解惑。

以上內(nèi)容來自原帖。

至于為何登錄了新設(shè)備或網(wǎng)頁而沒有彈出二次驗證，是此事的最大疑問。

這里要提一下，可能的解決方案，是使用了無密碼技術(shù)的「硬件安全密鑰」，會更加安全一點點吧（怕怕的，現(xiàn)在騙子太高級了。

一個小技巧

著名開發(fā)者 @waylybaye?提到了一個小技巧：

看到 v2ex 這個被騙的熱貼，跟大家分享下我一直在用的小技巧分辨是否在被釣魚：?

我每次看到讓輸入 Apple ID 密碼的彈窗都會用 Home手勢/鍵 嘗試關(guān)一下，如果關(guān)不了說明是 iOS 系統(tǒng)彈的，可以輸入密碼。如果能關(guān)掉，那肯定是 App 偽裝的彈窗要騙你密碼。

愿世界沒有詐騙。