这也是为什么很多小伙伴宁愿抛弃超高性价比的安卓，转而选择 iPhone 机型，作为父母长辈们的主力用机。

　　我们只需帮父母长辈们注册一个 Apple ID 账号，就能在 App Store 里下载到整洁统一、不乱跳转下载、不乱扣费的高质量应用。

　　他们前段时间甚至还请了 “ 叶师傅 ” 拍了段关于 iPhone「个人隐私信息安全保护」的广告宣传片。

　　一位网友的丈母娘被 App Store 应用商店里的 “ 菜谱类 ” App 直接骗走了 16000 元。

　　咦！这时有些反应迅速的小伙伴可能就察觉到了问题所在，要是在开启了 Apple ID 双重认证的情况下还被骗的话，那就证明这位网友的丈母娘是自己粗心大意进而输入了关键密码信息被骗的呀！

　　那怎么就能怪苹果呢？这不就是活脱脱自己丈母娘糊涂的问题吗？而且类似这样被骗的案例也不在少数啊，有什么大惊小怪的？

　　为了搞清楚事情的来龙去脉，果子把原帖也就是这位网友描述的事情经过，认真、仔细、一字不落的过了一遍。

　　案发当天，网友的丈母娘就在 App Store 上下载了一个名为 “ 菜谱大全 ” 的 App 。

　　毕竟下载完的 App 如果有需要登录的话，我们正常都会选择登录的嘛。有些 App 就是要登录了才能支持功能的正常使用。

　　而且还把密码验证对话框做的不说很像吧，要是不仔细看的话，像果子这种身经百战，都很容易就陷进去。

　　首先是 Apple ID 写成了 AppLeID ；您的ID密码 ID 两个字母前后没有空格；甚至登录两字也写成了登陆。

　　而网友丈母娘之前又因为在某 App 上购买过虚拟商品，所以 App Store 已经绑定了微信的免密支付。

　　为了让网友丈母娘无法第一时间获取到微信支付成功的消息通知，骗子还把网友丈母娘 iPhone 上资料给抹除掉。

　　网友后面这没细说，这里果子猜测是骗子借 “ 查找 ” 应用里的 “ 抹掉此设备 ” 功能让网友丈母娘的 iPhone 恢复到了出厂设置的状态！

　　可以看到从网友丈母娘 “ 手机资料被抹除 ” 至 “ 被消费盗刷 ” 再到冻结，整个过程用时仅短短 7 分钟。

　　换算到事情发生到结束，果子能想象到无论是网友或是网友丈母娘双重认证苹果id被盗，整个人一定是愣住、一脸懵 B 的状态。

　　就是在 Apple ID 开启 “ 双重认证 ” 的情况下，骗子是怎么样做到 “ 绕过 ” 双重认证机制的呢？

　　没错！这个域名是苹果 Apple ID 账户管理的官网。这个网站有什么用呢？大家看下面图片上的文字就清楚啦。

　　换句话说，网友丈母娘进 App 第一次的创建登录，其实是帮骗子登录了 Apple ID 账户管理的官网。

　　因为是在本机又是受信设备中操作，而且是在自带的 Safari 浏览器中登录 Apple ID ，所以并不会触发 “ 双重认证 ” 。

　　就跟上面果子一样，只需 Face ID 刷个脸就通过认证登进 Apple ID 账户的管理官网了。

　　此时这个时候，骗子其实是并不知道网友丈母娘 Apple ID 密码的，那么他是怎么获取到的呢？

　　这其中还有一些骗子个人的技术小手段，涉及到 JavaScript 代码啥的，果子就不详细展开来说啦！

　　抛开网友丈母娘钓鱼窗口被骗这个前提，其实回看整起事件，苹果的 iOS 存在 “ 破口 ” 肯定是洗不清的。

　　一方面：App 调用 Webview 组件，本机是受信设备登录 Apple ID 不用双重认证。

　　另一方面：也是本起事件让骗子轻而易举拿起 “ 犯案工具 ” 的罪魁祸首 —— App Store 。

　　“ 像这些 App ，只要在上架前伪装成正规应用，等上架完成后，再通过更新把 “ 乱七八糟 ” 的东西加进去。”

　　“ 而且在 App Store 以马甲应用、幸运按钮激活种种方式上架的 App 不是一搜一大把吗？”

　　于是乎果子找了下这次事件的主角 “ 菜谱大全 ” App（目前事发 App 已经被下架了）。

　　就是出现输入 Apple ID 密码的窗口，可以通过按 Home 键或上划手势尝试退出一下。

　　要是能直接退出的都是在诈骗，也就是假的验证框；要是需要按/划两次或个别点按操作才能退出的，目前来说都是真的验证框。

　　果子只能说无论安卓还是 iOS，网站或是 App，都没有绝对的安全，这个平时在使用过程中，还是要多留一个心眼提防下。

　　要是实在处理不了，果子觉得还不如直接在 “ App 调用 Webview 组件 ” 这块全部加上 “ 双重认证 ” 。