该网友称事发7月12日晚，当晚23点，丈母娘的iPhone突然被抹掉资料，变成出厂设置状态，在设置过程中，手机陆续收到银行短信。

　　该网友分析，基本确定是遇到了钓鱼，丈母娘绑定了微信免密支付，7月11日下午，在App Store下载了一个名叫“菜谱大全”的APP，登录方式是Apple ID授权，它会弹出一个非常像的密码输入框，骗得Apple ID的密码。

　　按道理讲，在开启了双重认证的情况下，除非丈母娘主动输入验证码，否则即便对方拿到了 Apple ID 的账号密码，应该也无法登录才对，但是对方在没有二次验证 PIN 码的情况下，依然能够登陆丈母娘的 Apple ID 并盗刷，完全突破的苹果的双重验证的限制。

　　开发这个恶意App的黑产人员不仅登陆了丈母娘的 Apple ID，还给绑上了自己的手机号，目的就是为了后续的登录可以通过自己手机号认证和登陆。

　　到了这个时候，双重认证实际就已经失效了，黑产人员可以用自己的手机号来接收短信和登陆账号，完全掌握了这个 Apple ID 了。

　　不过黑产人员并不会直接用 Apple ID 下单支付，而是会创建一个家庭共享，加入另一个小号，由这个小号购买 App 中的虚拟商品，然后让丈母娘的账号付款，丈母娘账号就成了“提款机”，从而实现盗刷。

　　虽然这位老哥已经报警了，不过老哥和苹果官方客服的 Battle 暂时还处于失利阶段，苹果客服拒绝退款

　　BugOS技术组还解释了绕过双重认证的原理：第三方应用里边，开发商可以打开一个你看不见的网页，比如在界面下层放一个名叫 WKWebView的控件，用其他图片啊按钮啊把这个控件挡住，你就看不到下边这个网页了对吧。

　　这个控件可以访问任何网页，而且可以控制网页上的任何操作，以及获取网页上的各种信息。于是开发商用这个看不见的控件打开Apple ID设置网页，重点来了，如果你的手机是Apple ID的受信设备，打开网页时是不需要进行双重验证的苹果ID改的密码不能进行双重认证，只需要扫个脸就可以顺利登录。

　　3.iCloud没开查找，这玩意是双刃剑，虽说可以让你设备丢失时及时锁定，但反过来万一ID被盗（或者像图中这种被添加了受信任号码）对方也可以锁定和抹除你手中的设备。