在开启Apple ID双重认证的情况下，仍被不法分子骗得管理权限，且被盗刷20多笔订单，涉及金额约1.6万元。

　　经当事人和技术爱好团队分析，不法分子极有可能利用了iPhone便捷登录功能的逻辑漏洞，绕过验证机制骗取受害者Apple ID权限，进而盗刷账户。目前，警方已对此事立案调查；经多次申诉后，7月27日晚，苹果公司对被盗刷订单进行了退款处理。

　　据发帖网友称，被盗刷手机此前已经开启Apple ID双重认证功能，即新设备首次登录Apple ID时须同时提供账号密码和设备验证码。 但不法分子成功绕开了这一验证机制，在受害者未察觉的情况下获取Apple ID完整权限，并利用免密支付功能盗刷账户资金，甚至能够远程控制受害者iPhone恢复出厂设置。因此怀疑iPhone存在安全漏洞。

　　认为事件起因在其家人从苹果官方应用商店App Store下载安装了一个伪装成菜谱类应用的涉诈App。随后该App利用受信任iPhone内置浏览器组件申请访问Apple ID管理后台无需双重认证这一漏洞，对其家人发起“钓鱼诈骗”。

　　7月24日下午，“BugOS技术组”发布微博称，已成功复现此诈骗流程。经测试，在受信任设备，即受害者本人使用的iPhone上，第三方App可以利用内置浏览器组件拉起Apple ID管理后台的一键登录弹窗，且不会触发双重认证功能。 不法分子只需将该登录弹窗伪装成单纯的App账号登录弹窗，诱骗受害者点击同意，之后再利用虚假输入框等方式骗取密码，即可完全绕开安全验证机制。

　　结果显示，Android系统仅在用户直接使用内置浏览器登录账号时才能触发便捷登录，其他第三方App则无法调用该功能。换言之，该骗局仅能在iOS系统上实现。

　　发帖网友表示，其在事发当晚已报警。此外，他还就被盗刷的订单向苹果公司申请退款。经多次申诉后，7月27日晚，苹果公司对相关订单全部进行了退款处理，但未就此事联系当事人作进一步解释。

　　但历史数据显示，该App最早发布于2022年12月9日，且截至下架前有991条评分记录。今年2月，已有用户在App Store评论区反映其安装该App后收到账号异地登录和异常订单提醒，更有用户直指该App是诈骗软件。

　　从苹果官方支持页面留意到，苹果公司已于7月27日为iOS 16.6版本和iPadOS 16.6版本添加多个快速安全响应，其中包括解决“网站可能能够跟踪敏感的用户信息”“处理web内容可能导致任意代码执行”等问题。相关快速安全响应是否已阻止前述“钓鱼诈骗”手法，仍有待进一步测试。

　　首先，用户发现手机出现权限申请等弹窗时应当留意相关说明文字，看该弹窗具体由哪个App发起、索要哪些权限。以iPhone为例，弹窗会提醒用户正在登录的具体网页或App，若弹窗指向目标与用户当前操作不符，则应及时拒绝该申请。

　　其次，不法分子通常不会在涉诈App中直接使用手机品牌、厂商名称等关键词，以降低被应用商店和手机厂商人工复核的概率。因此，涉诈App的虚假界面内经常会出现错别字或异常符号，用户输入敏感信息前应着重留意App或网页内的logo、品牌名等位置是否存在异常。

　　以上述骗局为例，不法分子为躲过苹果应用商店的审核，伪装的密码输入界面文字为“AppLeID”，而非“Apple ID”↓

　　此外，个人用户在下载安装App时，应当注意其开发者信息、评论留言等相关背景资料。如非必要，不要下载一些上架时间短、下载量少、开发者也不知名的应用。

　　最后，手机免密支付功能具有一定的便利性，但同时也易被不法分子视为安全机制的突破口。个人用户可基于日常消费习惯，合理设置免密支付最高限额，尽可能降低账号被盗后的资金损失苹果id第一次登录有双重认证。

　　若iPhone上出现输入Apple ID密码的弹窗，可尝试退出操作，能退出的都说明不是iOS的系统级弹窗，极有可能涉及诈骗。